近日有新聞報道引述如若香港推行《起底法》,美國三網絡巨企將或會撤出香港。同時,亦有報道指某檢測公司透過其檢驗商品收集基因數據。兩宗新聞都恰巧與個人資料及私隱有關。在現今資訊極為流通的社會,個人資料及私隱的泄露風險越受人關注,所以本期的《法律說》就跟大家簡述《個人資料(私隱)條例》。
《個人資料(私隱)條例》(香港法例第486章)(「私隱條例」)主要圍繞OCED的私隱指引的六大原則發展。六大原則分別為:
收集目的及方式 – 其使用資料的目的必須為合法,而收集的資料應與該目的相關。收集的方法必須合法及公平;
準確性及保留期間 – 當收集資料的目的已經滿足或再無需要時,資料使用者須在合理可行的時間内刪除該等個人資料;同時資料收集者需要確保保存的資料準確;
資料的使用 – 資料應該只使用於收集時所説明的目的;
資料的保安 – 資料使用者須採取必要的措施保障資料不會在未有授權的情況下被查閲、使用或泄露;
透明度 – 資料使用者須讓個人清楚明白資料收集者的有關收集個人資料的相關政策;及
查閲及改正 – 個人應有權利查閲及修改資料收集者所持有的個人資料。
公司在制定私隱政策的時候,其實亦可參考上述原則草擬適用於公司實際營商需要的政策。就上述每一項原則列明公司的處理方式,例如公司會從何種渠道收集個人資料,如:網上Cookies記錄、購物交易記錄抑或由顧客自願填寫申請表格?所收集的個人資料是否會轉交至任何第三方進行進一步處理?如若個人需要查閲或更改其資料,可以透過何種方法聯繫公司的負責人?
值得一提的是,大家常見的個人資料收集聲明常常需要明確表示是否願意公司使用其個人資料用作直接營銷,這是因爲私隱條例第6A部規定,資料收集者如欲使用資料作直接營銷,不論公司自己使用或向第三方提供資料,必須先獲得當事人明確表示同意,否則被視爲違法,最高刑罰港幣五十萬元及監禁三年。而因轉讓資料而獲利則可面對更高罰則。如若公司在所説明的收集資料目的完結後未有及時刪除該等個人資料,亦可被判罰款港幣一萬元。如若被發現或舉報公司違反了私隱條例,香港個人資料私隱專員亦可根據私隱條例賦予的權力,指示該涉事公司糾正、改善其私隱政策並加强執行。故此,商家在處理個人資料的時候務必多加留意。
回應文首有關於檢測公司收集基因數據的新聞,該涉事公司回應其從未取得可識別的個人數據。若按照私隱條例的定義,個人資料是指與一名在世人士有關及可確定個人身份的資料,而該等資料透過可供查閲及處理的方式記錄下來的。該公司所收集的數據僅為受檢測人士的國籍,身高及體重等,故不能用以確定某特定個人身份。但筆者認爲,法例往往只為道德上的最低標準,即使資料未必受法例規管,若公司可以增加透明度並小心處理個人資料,同時亦可以增加顧客對公司的信心,此實爲雙贏。
本刊物只供資料性參考,不會視為法律意見.
想知更多相關資訊,歡迎瀏覽本律師行網頁或聯繫我們查詢。 www.chakandassociates.com
info@chakandassociates.com 2021.07