公署通訊

個人資料私隱專員蔣任宏

在政府經歷長久和卓越的職業生涯後，大多數人會選擇享受閒適恬靜的退休生活，但蔣任宏先生在服務政府33年之後，仍然堅持另一番作為。蔣先生於2010年8月上任個人資料私隱專員時，公署正處於最緊張的時刻，當時公眾正熱切關注「八達通日日賞」計劃侵犯私隱的個案。

公署在過去多年一直踏實地工作，提高人們對個人資料私隱的意識，但在2010年7月前任專員就「八達通日日賞」計劃使用客戶的個人資料作直接促銷而主動展開正式調查後，情況出現巨大轉變。事件令公署備受公眾注目。傳媒對公署的報道空前的多，公眾對公署工作的興趣亦比前增加。

蔣先生表示： 「這可能是人們以前沒有重視個人資料私隱的問題。但隨著社會發展，我們開始邁向知識型社會，這個議題逐漸得到個人及不同機構的重視。 」

他說： 「八達通事件對於以往忽視個人資料私隱的人士應響起一個警號。企業及機構有很多事情要處理，例如有關盈利及人力資源的問題，而資料私隱的問題通常會排在較後位置。這事件罕有地令私隱問題可以攫取到公司最高管理層的注意。 」

蔣先生補充： 「現今的業務模式都標榜『以客為本』 ，但我發現很多機構在個人資料私隱範疇完全沒有以客為本，實在令我驚訝。在收集及使用客戶的個人資料方面，機構傾向盡量行使其酌情權，而犧牲客戶的自決權。他們似乎滿足於符合法律的最低要求，及著眼於在灰色地帶鑽空子。 」

蔣先生強調： 「今日的商業競爭不再只是局限於價格及服務質素。機構要取得長久及更高層次的成功，必須在新的範疇超越對手，例如環保、企業社會責任及保障人權。傳統模式需要改變，行政總裁及公司高層必須有新的思維。 」

他補充： 「個人資料私隱權利是『基本人權』 ，隨著社會及經濟進步，公眾對這個議題的意識在過去數年有所提升。但公署要有效地執行《個人資料（私隱）條例》 （下稱「條例」 ） ，需要持續掌握不斷轉變的營商手法及科技應用。 」

近數年，加強香港的資料私隱法律已成為政府優先處理的項目。這點可從政府於2009年8月28日發出的《檢討個人資料（私隱）條例的諮詢文件》看到。該文件提出了43項修訂建議，諮詢公眾意見，而大部分建議是由公署提出的。公署提出的眾多修訂建議之一是把任何人在未得資料使用者同意下，知情或罔顧後果地取得或披露個人資料，或出售個人資料圖利的行為訂為罪行。

蔣先生表示： 「今天，互聯網及社交網站科技非常普及，但在條例草擬之時，尚在萌芽階段。此外，在過去數年，越來越多科技使用者在日常生活中應用網上技術。在這情況下，加上機構和政府比以往更有效收集及處理大量個人資料，保障私隱比以前變得更為切身及重要。目前條例的基本原則是經得起時間的考驗。公平、透明、處理資料的合法理由、適當的保安安排，資料的合理查閱等概念仍然是規管這範疇的基石。 」

他補充： 「不過，社會的一般共識是收緊對保障個人資料的管控，我很高興看到政府跟進建議，提供更大的私隱保障及施加較重的制裁。有些由公署提出的建議，政府已表明不會跟進，包括： （a）就收集及使用客戶的個人資料作直接促銷採取「接受服務」機制， （b）直接規管資料處理者， （c）對敏感個人資料提供更大保障， （d）賦權公署向受屈的資料當事人判給補償及對嚴重違反私隱的資料使用者處以罰款。我會透過公眾參與及諮詢利益團體，盡力令這些建議再被納入考慮範圍。 」

蔣先生一方面對加強香港的保障資料法律持前瞻性態度，另一方面他相信社會是需要在尊重個人資料私隱權利與其他權利（包括公眾及社會利益）之間「取得平衡」 。蔣先生認為個人資料私隱等同「互相尊重」 ，這個理念應存在於公司文化及個人的觀念之中。他主張尊重個人資料私隱應融入商業過程及機構的營運程序。他進一步建議，要做到真正以客為本及尊重私隱的機構，必須整個機構全面性應用，動員所有員工。最高管理層的推動尤其是不可或缺的。

蔣先生的工作價值－專業操守及誠信，與公署的價值系統完全吻合。公署是個非常注重工作表現及效率，並時刻受到公眾監察的機構，在具有豐富公共行政經驗的蔣先生領導下，公署的表現會更為出色。蔣先生在擔任郵政署署長期間，於2003 - 04年度成功地將郵政業務轉虧為盈，及協助郵政署建立著重客戶服務、市場需求及業務表現的企業文化。

公署每年處理超過一千宗投訴，因為社會各界對保障個人資料的問題越益重視，工作量與日俱增，公署還要面對招聘適合人才的挑戰。另一方面，公署會加強推廣及教育方面的工作，以促進私隱循規。公署最近便為直銷行業發出有關收集及使用個人資料的指引。蔣先生表示： 「自從發生八達通事件後，很多公司希望就處理個人資料取得我們的指導，因此我們發出這份指引。我們希望公司在跟從專員的建議後，能夠提升與客戶的關係，從而取得競爭優勢。 」

在公署未來眾多的推廣計劃中，其中一項是與中學的通識教育有關。另一項目則針對大學，公署計劃在相關的課程，如人力資源管理及市場學，加入有關個人資料私隱的單元。

蔣先生補充： 「我們的教育及實用指導項目會更為針對目標人士及特定行業。此外，我們會在中學課程加入個人資料私隱項目。透過這些安排，我們希望保護個人資料私隱的意識會成為年青人日常生活的一部分。例如，他們會留意到社交網站的陷阱，知道有責任保護自己。 」

進一步討論檢討《個人資料（私隱）條例》

由左至右:政制及內地事務局副秘書長何健華、政制及內地事務局副局長黃靜文、私隱專員蔣任宏及公署首席律師郭美玲出席政府在十一月四日舉辦的公眾諮詢會

政府在2009年8月至11月期間就檢討《個人資料（私隱）條例》 （下稱「條例」 ）進行公眾諮詢。其後，政府在2010年10月18日發表了「檢討《個人資料（私隱）條例》的公眾諮詢報告」 ，邀請公眾進一步討論加強條例對個人資料私隱保障的立法建議。

為了向社會各界表達公署對有關立法建議的立場，及聽取各方意見，私隱專員蔣任宏在2010年11月至12月期間會見了市民大眾及有關界別人士，希望社會各界能夠進一步討論，並達至共識，確保新修訂的條例能夠滿足市民大眾對保障個人資料私隱的期望。

公眾請於2010年12月31日前就立法建議提出的意見提交政制及內地事務局（第4組） 【郵寄（郵寄地址：香港下亞厘畢道中區政府合署東座364室） 、傳真（傳真號碼： 2523 0565）或電郵（電郵地址： pdpo_consultation@cmab.gov.hk） 】 。

調查報告-八達通日日賞計劃

個人資料私隱專員（下稱「專員」 ）於2010年10月18日發表報告，公布根據《個人資料（私隱）條例》 （下稱「條例」 ）第38（b）條就八達通獎賞有限公司（下稱「八達通獎賞公司」 ）及其控股公司－八達通控股有限公司（下稱「八達通控股」 ） ，在營運八達通日日賞計劃（下稱「該計劃」 ）時，收集及使用客戶的個人資料而展開調查的結果。

自2010年3月底，該計劃的部分會員對於其個人資料在他們不知情或未同意的情況下被轉移予第三者作直接促銷，深表關注。其後，一名聲稱是該計劃的參與商戶的前僱員的人士，向傳媒及公署表示，八達通獎賞公司將該計劃的會員個人資料出售給該參與商戶，作直接促銷用途。鑑於事件的嚴重性，專員於2010年7月22日展開調查，以確定八達通控股及八達通獎賞公司有否違反條例的規定。

完成調查後，專員認為八達通獎賞公司在收集及使用客戶的個人資料的過程中，違反了條例保障資料第1（1）原則、第1（3）原則及第3原則的規定。

首先，八達通獎賞公司為認證客戶身份目的收集了超乎適度的個人資料，包括身份證號碼、護照號碼、出生證明書號碼，以及出生年月。其實，有關公司可以使用已收取的其他侵犯私隱程度較低的個人資料（例如電話號碼及住宅地址）以達致同樣目的。八達通獎賞公司因而違反了保障資料第1（1）原則的規定。

第二，八達通獎賞公司沒有採取所有合理地切實可行的步驟，確保已清楚告知申請參加該計劃的客戶資料可能被轉移予甚麼類別的人。另外，其收集個人資料聲明均以不合理地細小的字體印製，並以寬鬆的字眼描述資料承讓人的類別，八達通賞獎公司全權決定資料轉移予誰。八達通獎賞公司因而違反了保障資料第1（3）原則的規定。

第三，八達通獎賞公司在沒有客戶的訂明同意下，與五個合作商戶分享客戶的個人資料，並從中獲得金錢收益，交易其實是售賣個人資料。雖然條例沒有禁止八達通獎賞公司銷售個人資料，但此舉並不能被視為收集資料的原本目的或直接相關目的。該計劃的收集個人資料聲明沒有說明會銷售客戶個人資料以取得利潤。八達通獎賞公司因而違反了保障資料第3原則的規定。

依據條例第50（1）條，如專員認為八達通獎賞公司及八達通控股正在違反或已經違反條例規定，而違反情況令到違反行為將持續或重複發生是相當可能，則專員可向八達通獎賞公司及八達通控股送達執行通知。然而，專員注意到八達通控股已公開聲明不會參與任何須向夥伴商戶提供客戶個人資料以作促銷用途的活動，並暫停登記新會員。八達通獎賞公司又向專員書面承諾（a）徹底刪除及銷毀過量收集得來的個人資料（b）徹底刪除及銷毀為獲得金錢收益而向5間夥伴商戶轉移的客戶個人資料（c）重新設計收集個人資料聲明的描述和展示，讓一般正常視力的人士可易於細讀（d）按其獨特性質來列出資料承讓人的類別，讓人以合理的程度了解個人資料會被移轉予甚麼人（e）日後如要轉移現有的客戶的個人資料予該計劃下的參與商戶作金錢收益，必須取得客戶的明確及自願同意。

鑑於八達通獎賞公司已停止引致有關違反的作為，並作出有關書面承諾，專員認為持續或重複違反行為的機會不大，所以沒有發出執行通知。

	私隱專員蔣任宏（中）在2010年10月18日舉行記者會，公布「八達通日日賞計劃」的調查報告

有關「收集及使用個人資料作直接促銷」的常問問題

公署於2010年10月發出了《收集及使用個人資料作直接促銷指引》 （下稱「指引」 ） ，為資料使用者在收集及使用個人資料進行直接促銷活動提供實用性指引，以符合《個人資料（私隱）條例》 （下稱「條例」 ）的要求。

以下是一些常問問題及答案，協助資料使用者理解指引的內容：

1	資料使用者可以向客戶收集哪些個人資料作直銷用途？
	一般來說，客戶的姓名及聯絡資料應該足以進行直接促銷。如要收集更多資料以進行客戶概況彙編及分類，從而提高成本效益，資料使用者應通知有關客戶，提供這些額外資料完全屬自願性質。另外，進行直銷活動通常不需要收集敏感個人資料如身份證號碼。
2	公司甲可否以公司乙的名義促銷本身的產品？
	如有關情況令客戶誤以為是公司乙正在進行促銷該公司的產品/服務，而該客戶基於這信賴在交易當中提供了相關的個人資料，此舉有可能違反條例保障資料第1（2）原則，該原則規定收集個人資料的方式必須合法及公平。
3	服務申請表中，同時包含資料使用者所提供服務的條款及細則，以及有關將收集的資料用於促銷與原本尋求的服務沒有直接關係的產品或服務，但申請表上只得一欄讓客戶簽署，資料使用者這做法如何？
	若有關資料使用者這樣做的話，該客戶只可有兩個選擇（i）放棄申請服務；及（ii）給予「綑綁式同意」 ，即是接受原本尋求的服務的條款及細則之同時，須接納資料使用者對其資料所訂明的用途，雖然他其實是反對有關訂明的用途。在此情況下，建議資料使用者的服務申請表應將客戶同意購買服務的條款及細則的部分，與客戶同意其個人資料被用於促銷與他原本尋求的服務沒有直接關係的產品或服務的部分區分開來。要達到這目的，建議的方法包括讓客戶在空格上加上「 」號，或另行簽署，表明是否同意把其個人資料用於訂明用途。
4	如何設計一份能有效向客戶溝通的「收集個人資料聲明」 ？
	首先， 「收集個人資料聲明」的設計和展示，應該讓擁有正常視力的客戶易於細讀；第二， 「收集個人資料聲明」應獨立處理，內容不應含混於資料使用者的服務條款及細則之中；第三， 「收集個人資料聲明」所使用的語言要易於理解，避免使用法律詞彙或晦澀難解的詞組；第四，公司可提供服務台或查詢服務等進一步支援，協助客戶了解「收集個人資料聲明」的內容。另外，資料使用者應考慮收集個人資料的實際情況，例如目標客戶的特徵（如年齡、教育程度等） ，盡力使「收集個人資料聲明」內的訊息有效地傳遞予客戶。
5	資料使用者可否在其「收集個人資料聲明」中，使用類似「公司不時訂明的其他目的」等的字眼，來描述機構使用客戶個人資料的目的？
	資料使用者不應以寬鬆及模糊的字眼描述使用目的，以掩蓋收集資料作直接促銷用途。建議的良好行事方式是清楚述明直接促銷活動的類別（例如促銷金融或保險產品） 。
6	資料使用者可否在「收集個人資料聲明」中，使用「能提供客戶有興趣服務資訊的特選公司」或「所有業務夥伴」 ，來指明資料承讓人的類別？
	資料使用者不應以寬鬆及模糊的字眼，令客戶無法合理地確定資料承讓人的類別。資料使用者應按資料承讓人的特點釐定類別，例如「金融服務公司」 、 「電訊服務供應商」等。
7	資料使用者可否從公共領域（例如公共登記冊）的記錄取得個人資料作直銷用途？
	如有關公共登記冊已指明禁止把個人資料用於直接促銷，資料使用者就不應從該公共登記冊取得個人資料作直銷用途，否則不單可能違反保障資料第3原則，亦可能違反設立公共登記冊的相關條例。如有關公共登記冊沒有指明該等個人資料的使用目的，機構則須考慮設立有關公共登記冊的背景，及資料當事人的合理期望，以決定是否使用該等個人資料被直接促銷用途。
8	資料使用者轉移客戶的個人資料予夥伴公司作跨業直銷活動時，是否需要通知其客戶？
	資料使用者應考慮在進行跨業直銷計劃前先通知客戶，例如郵寄資料小冊子通知他們計劃的性質及主題、夥伴公司的身份及聯絡資料、會否轉移客戶的個人資料、轉移資料的種類，以及防止夥伴公司不當使用資料的措施。轉移資料的公司亦可考慮從夥伴公司取得促銷資料，讓本身的職員進行促銷活動。
9	資料使用者可否將其客戶的個人資料，轉移給其他公司以獲取金錢收益？
	此舉通常不會被視為收集資料的原本目的或直接有關的目的。有關資料使用者必須就出售資料取得客戶的明確及自願同意，否則該資料使用者會承受違反條例的保障資料第3原則的風險。同意可用簽署或勾選方格的方式示明。

「如何在直銷活動中保障客戶的個人資料」工作坊

為加強資料使用者對《收集及使用個人資料作直接促銷指引》內容的了解，以及在收集及使用個人資料進行直接促銷時如何符合條例的規定有更具體的認識，公署在2010年11至12月期間舉辦了五場工作坊，讓全港所有相關的從業員參加。 在工作坊上，公署職員除了詳細講解指引的內容，更親身與參加者分析不同個案，及進行小組討論。工作坊吸引了近500名來自直銷、銀行、保險、電訊等不同行業的人士參加。

「資料外洩事故通報」講座

	2010年9月9日，公署為會員舉行講座，介紹新出版的《資料外洩事故的處理及通報指引》 ，及如何使用新製作的《個人資料（私隱）條例培訓課程導師手冊》 。
	私隱專員蔣任宏與會員討論保障個人資料的議題

「如何進行私隱影響評估」講座

2010年6月16日，公署邀請了國際私隱專家Roger Clarke先生向會員講解如何進行私隱影響評估。 Roger Clarke先生是一位專長於監察及私隱策略及政策的顧問，亦是英國資訊專員辦公室出版有關私隱影響評估書刊的主要作者。

介紹公署工作及條例內容的短片

公署最近製作了一段短片，透過一名市民到訪公署進行查詢作引子，從而向觀眾介紹《個人資料（私隱）條例》的條文、管轄範圍、保障資料原則，以及簡介公署的架構及職能、處理投訴程序等。

《個人資料（私隱）條例中的保障資料原則-私隱專員的觀點》 （修訂版）

公署出版了《個人資料（私隱）條例中的保障資料原則＿私隱專員的觀點》 （下稱「該書」 ）的修訂版。自此書在2006年首次出版後，科技的迅速發展對市民的個人資料私隱權產生了深遠影響，公署因此覺得有需要修訂此書。此書讓讀者深入了解《個人資料（私隱）條例》中保障資料原則的實際應用，是這方面的唯一參考書籍。

私隱影響評估資料單張

公署在7月發出了《私隱影響評估資料單張》 ，解釋為何及如何進行私隱影響評估，以及作出私隱影響評估的好處。

指引資料

公署最近發出了三份指引資料： 《資料外洩事故的處理及通報指引》 、 《閉路電視監察措施指引》及《收集及使用個人資料作直接促銷指引》 。

《資料外洩事故的處理及通報指引》 ，協助資料使用者處理資料外洩事故，減低對有關資料當事人所造成的損失及損害。

《閉路電視監察措施指引》旨在向機構就應否及如何負責任地使用閉路電視提供建議，並協助機構了解《個人資料（私隱）條例》有關收集及妥善處理個人資料的一些規定。

《收集及使用個人資料作直接促銷指引》是為收集及使用個人資料進行直接促銷活動的資料使用者提供實用性指引。

新修訂的查閱資料要求表格及資料概覽

新修訂的查閱資料要求表格已於2010年9月1日起生效。為協助市民提出查閱資料要求，公署特別編制一份資料概覽，以問答形式解釋提出資料要求時需注意的地方。

調查報告

公署在2010年7月30日發表了一份有關「美容中心未獲取客人同意把其個人資料移轉至第三者」的調查報告。