日期:2020年7月9日
有關「民主派35+公民投票」計劃的個人資料私隱關注
香港個人資料私隱專員(私隱專員)黃繼兒留意到最近傳媒報導及討論有關名為「民主派35+公民投票」(初選)計劃的活動(該活動)。私隱專員至今沒有收到由該活動負責人提供的資料或匯報,公署曾嘗試聯絡該活動負責人但未有回覆。根據公開資料顯示,該活動由香港大學法律學院副教授戴耀廷及前立法會議員區諾軒(即該活動的資料使用者)委託民間組織民主動力(該組織)承辦。
該活動當中可能涉及個人資料的收集、使用、轉移(如有的話)、保安和銷毀等,該組織必須以嚴謹和負責任的方法處理。在此方面,《私隱條例》的有關規定如下:
-
根據保障資料第1原則,該組織在該活動中向參與的市民收集個人資料前,需確保收集個人資料須以合法及在所有情況下屬公平的方式收集,而資料的收集對該目的是必需的或直接與該目的有關的。就該目的而言,所收集的資料屬足夠但不超乎適度。
-
據報導,該活動以「公民投票」為名,正如政府早前就「公投」活動表示,《基本法》和香港法律體系並沒有「公投」制度,所謂「公投」既無憲制基礎,亦無法律效力。今次該活動的負責人對其活動的性質、目的及合法性在收集個人資料之時或之前必須清晰、詳盡地告知參與的市民。
-
在考慮到應有的透明度及可解釋性為大前提下,該組織應在收集市民的個人資料前,清晰告知他們所有蒐集有關資料的目的及用途。只有在妥為告知的情況下收集,才算是在所有情況下屬公平的收集方式。若蒐集個人資料的目的,是利便該活動,如報導中說旨在「否決」立法會的議案,必須向資料當事人說明此目的的合法性,一切非法或誤導性的目的可能構成不公平收集個人資料,觸犯《私隱條例》保障資料第1原則。
-
在該活動中,該組織只可向參與的市民收集不超乎適度的個人資料,例如若出示有關文件已可達到核實身份的目的,便無需要收集文件的副本或記錄當中的資料。
-
此外,該組織應考慮在收集參與的市民的個人資料前向他們提供一份清楚易明的「個人資料收集聲明」,其中列明保障資料第1(3)原則所要求的事項,並提供資料使用者的資料及聯絡負責處理已收集的個人資料的人士的方法。該組織可考慮把「個人資料收集聲明」顯示在手機投票程式供參與的市民提供個人資料的版面,或收錄在紙張選票中,並要求參與的市民確認已知悉有關內容,以讓後者在知情下,決定是否提供資料。
-
根據保障資料第2原則,資料使用者須確保個人資料的保存時間不得超過達致收集目的所需的時間。《私隱條例》第26條亦有類似的條文[1]。為求提高透明度和可解釋性,該組織明確告知市民的個人資料的保留期限,在該活動完成後,該組織應在合理時間內盡快安全及徹底地刪除因該次活動的目的而收集的個人資料。保留個人資料的時間過長,只會增加未經准許或意外的查閱及處理的風險。如果該組織聘用資料處理者處理個人資料,須採取合約規範或其他方法,確保資料處理者依從這些有關資料保留的要求。
-
根據保障資料第3原則,除非取得有關資料當事人自願給予的訂明同意或有關資料的使用獲《私隱條例》第8部所豁免[2],否則個人資料不得用於「新目的」,即原先收集資料時擬使用或相關的目的以外的目的。不論有關資料當事人的個人資料是否取自公共登記冊等公共領域,均須遵從此原則的規定。該組織在該活動收集的個人資料只可用於與該活動有關的目的(即只限於反映「初選」的結果),不應有任何其他附帶目的,否則便須徵得參與的市民的同意,才可用於其他用途。
-
另一方面,公署留意到,該組織涉及透過住址證明、過去的投票通知書或選民登記紀錄以核實市民的投票資格。公署提醒該組織,在核實程序中不得使用過往已發表的選民登記冊或從政府部門所取得的選民資料(例如《候選人郵遞資料系統》光碟或選民郵寄標籤 ),此舉與保障資料第3原則不符,而根據現行的選舉法例,任何人把登記冊的資料用作與該次選舉無關的用途(例如作民意調查),即屬違法,可處第2級罰款(現為港幣五千元)和監禁6個月。
-
根據保障資料第4原則[3],資料使用者必須採取所有合理地切實可行的步驟,確保所收集的個人資料的安全而不受未獲授權的或意外的查閱、處理、刪除或其他使用所影響。由於該活動可能在公眾地方收集參與的市民的個人資料,該組織應提醒他們在手機輸入其個人資料時加倍謹慎小心。此外,如在該活動中涉及使用第三方電腦程式或軟件,有關個人資料外洩及遺失的風險可能相應增加,該組織應先小心評估有關程式或軟件在處理個人資料方面的風險(包括資料在收集、傳輸及儲存時的保密性、對系統及網絡的安全性及員工查閱資料的權限等),確保收集所得的個人資料獲得適當的保護。
-
另外,如該組織經手機收集、儲存及傳送參與的市民的個人資料,有關個人資料外洩及遺失的風險可能相應增加,因此,該組織應加倍留意,就電子或紙本選票採取相應並足夠的保安措施。該組織特別應對服務站職員掃瞄該投票二維碼的電子裝置作出規管,並向職員提供清晰指引,指示他們不可以任何形式記錄、使用及儲存掃瞄後所得的資料。
-
再者,該組織亦須向該活動中有份處理個人資料的工作人員提供足夠訓練及清晰指示。如該組織聘用資料處理者處理個人資料,必須採取合約規範或其他方法,確保資料處理者依從上述的資料保安要求。
-
根據保障資料第5原則,作為良好的行事方式,資料使用者應公開與該活動有關的個人資料私隱政策(其內容包括收集的個人資料的類別、收集的目的、個人資料可能移轉予的人士類別、資料保留期間,及查閱和改正個人資料的權利)。該組織應制定清晰及公開的個人資料私隱政策,可以建立資料使用者與資料當事人之間的互信,並可釋除不必要的疑慮。該組織可在手機投票程式的下載版面提供其私隱政策。
-
保障資料第6原則賦予資料當事人可要求查閲及改正自己的個人資料的權利。若資料使用者拒絕資料當事人提出的查閲或改正的要求,便要提供理由。該組織應提供清晰簡易途徑以令資料當事人提出上述要求。如該組織收到市民提出上述要求,便應按照《私隱條例》的規定處理[4]。
根據公開資料,該活動是透過手機並利用二維碼,以輸入個人資料進入投票程式或網站,並確認投票選擇。就此,私隱專員提醒該組織在投票程式或網站的設計和使用應達至以下標準:
-
以貫徹私隱的方式設計系統(privacy by design);
-
以端對端方式處理資料,並在有關資料的儲存、靜止、運送途中時加密;
-
在使用系統前,進行私隱影響評估[5](Privacy Impact Assessment),以事前解決和盡量減低任何可能引起私隱問題的風險;
-
如參與的市民的手機需要另行下載二維碼閱讀器應用程式以掃瞄該活動的二維碼,該組織應提醒參與的市民從有信譽的來源下載。另外,該組織亦應留意在服務站外張貼的二維碼是否有被人竄改或導向不明網站。
私隱專員亦提醒該組織,如涉及採用雲端服務儲存所收集的個人資料,根據《私隱條例》,保障所收集及持有的個人資料的最終責任在於資料使用者。另一方面,由於雲端服務供應商只爲自己以外的目的處理資料,故被視爲「資料處理者」。《私隱條例》雖沒有直接對資料處理者施加保障個人資料私隱的責任,但卻要求企業採用合約規範或其他方法,以防止轉移予該資料處理者(即雲端服務供應商)的個人資料的保存時間超過處理該資料所需的時間,並防止未經授權或意外的查閱、處理、刪除、喪失或使用有關個人資料。有關實用建議可參閱私隱公署刊發有關雲端運算的資料單張[6]。
私隱公署已於2020年6月18日發出修訂版《給候選人、政府部門、民意調查組織及公眾人士的選舉活動指引》和指引圖鑑[7],提醒選舉活動的各持份者,包括民意調查組織,在處理選民的個人資料時,必須遵從《私隱條例》的規定。
[1] 《私隱條例》的第26條要求資料使用者採取所有切實可行的步驟刪除已不再為使用目的而需要的個人資料,除非刪除是受任何法律禁止或不合乎公眾利益。違反第26條會構成罪行,最高可被判罰款港幣1萬元。
[2] 《私隱條例》訂明在個別情況下,個人資料可獲豁免而不受若干條文所管限,例子包括防止罪行或檢控、保安及防衛、統計及研究、新聞活動、保障資料當事人的健康等;此外,《私隱條例》亦豁免法律或法院命令所規定或授權使用的個人資料,或爲行使或維護在香港的法律權利的需要而使用的個人資料。
[3] 保障資料第4原則訂明,資料使用者尤其須考慮資料的種類、上述情況一旦發生所造成的損害,以至為確保能查閲資料人士的良好操守、審慎程度及辦事能力而採取的措施等。
-完-