日期: 2020年8月13日
公署回應傳媒有關使用客戶個人資料的查詢
就 貴報查詢有關企業使用客戶資料的事宜,香港個人資料私隱專員公署(私隱公署)現就《個人資料(私隱)條例》(《私隱條例》)的相關內容回應如下:
問題
「我們希望可以對涉及企業使用客戶資料的私隱條例進行查詢,現將訪問提綱擬定如下:
-
香港個人資料私隱專員公署關於在香港當地經營的企業,對其客戶資料的使用及洩露有何限制?若違反條例或造成客戶損失是否會有法律方面的措施/後果?
-
公署對於在港經營的網絡科技公司(如社交網絡公司)洩露客戶個人或影像資料予第三方是否有相關條例可以查詢?」
答:問題1 & 2
-
不論公私營機構,包括網絡科技公司,在香港或從香港控制收集、持有、處理或使用(包括披露和轉移)客戶的個人資料時,都須遵守《私隱條例》及其六項保障資料原則的規定。機構(包括網絡科技公司)即使在香港經營,但若其業務不涉及在香港或從香港控制收集、持有、處理或使用客戶的個人資料,《私隱條例》便並不適用。
-
根據保障資料第3原則,個人資料只限使用(包括披露和轉移)於收集時述明的目的或直接相關的目的,除非得到資料當事人的自願和明確的同意,或者根據情況而決定引用《私隱條例》下的相關豁免條款,例如防止或偵測罪行。
-
此外,根據保障資料第4原則,任何機構都必須採取所有切實可行的步驟,包括有效的保安措施,以確保其處理的個人資料不會未經准許或意外地被查閱、處理、刪除、喪失或使用。
-
違反《私隱條例》的保障資料原則並不直接構成刑事罪行,惟私隱專員可發出執行通知,指令違規人士/機構採取補救措施。若有關資料使用者不遵守執行通知,公署可將個案轉交警方作刑事檢控。違法者一經定罪,可被判處最高罰款五萬元及監禁兩年;如罪行持續,可處每日罰款一千元。
-
此外,雖然《私隱條例》沒有規定機構性的資料使用者須就他們持有的個人資料的外洩事故通知私隱公署,但私隱公署建議資料使用者向公署作出通報,以妥善處理有關外洩事故,並通知受影響的個別人士。倘私隱專員有合理理由相信有違反《私隱條例》的規定,不論有否接獲資料外洩事故通報,可按實際情況決定對有關的機構性資料使用者進行循規審查及/或根據第38(b) 條展開循規調查。
-
機構應制定清晰及足夠的政策、處理方式、程序和機制,以保障個人資料私隱不被侵擾,特別是性質獨特及敏感的個人資料。除了守法合規之外,機構亦應實踐數據道德,即以尊重、公平和互惠的原則去處理個人資料,從而在所有持份者中構建互相尊重和信任。