刊於《信報》,2025年3月17日
私隱條例六原則 成個人資料護罩
許佳龍
科大商學院署理院長;資訊、商業統計及營運學系講座教授;艾禮文家族商學教授
筆者在上一篇文章(〈弄清楚私隱概念 有效保障個人資料〉)扼要討論了私隱的三個維度——1、個人「隱密」資訊;2、私人空間不受入侵;3、個人免於受到「監視」。由於不同人對私隱保障有不同的理解和標準接受程度,譬如有人不介意給街上電子鏡頭監視,但有人卻視之如「洪水猛獸」,因而令私隱保障在三個維度上取得平衡,成為一項挑戰。這一點,也成為目前世界各國或不同地區對私隱保護有不同政策取態、不同法律應對的其中一個原委。
基於每個人對私隱保護都有不同的出發點,不同的關注程度和政府措施不同接受程度等,這種情況,使得私隱保護無可避免是一個觸及到理論層面、文化背景以至個人價值觀等叠加考量的取捨。
香港私隱條例
筆者將於本專欄扼要闡述當前不同國家或地區政府不同的政策做法。首先討論與我們最貼身的香港私隱條例。
根據香港法例 486章《個人資料(私隱)條例》(下簡稱《條例》),個人資料的定義包含「(a)直接或間接與一名在生者有關的;(b) 可從該等資料直接或間接地查明某人身份的;及(c)該等資料的存在形式是可予查閱及處理的」。換言之,在我們日常生活中,個人資料的例子如個人姓名、住址、性別、年齡、國籍、身份証號碼以至醫療紀錄等信息。在上述的個人資料的三項定義下,任何人或機構在收集、持有、處理或使用個人資料時,必須遵守《條例》清楚訂明的六項保障資料原則,這六項原則對個人資料保障形成一個保護罩。
六項原則必須遵守
第1原則:「收集個人資料的目的及方式」。法例規定必須合法收集個人資料。第 2原則:「個人資料的準確性及保留期間」。法例規定機構保存的個人資料必須準確,在資料的保留期間,不能超過實際需要。第3原則:「個人資料的使用」。法例規定,除非獲得當事人「訂明同意」,否則不可改變資料的原來所述用途;第4原則:「個人資料的保安」。法例規定,機構必須採取適當保安措施,去保障個人資料。第 5原則:「資訊須在一般情況下可提供」。法例規定須確保他人能夠知道機構所制訂的個人資料私隱政策;第 6原則:「查閱個人資料」。法例訂明,當事人有權要求某機構或政府部門,證實是否持有其個人資料,以及有權要求獲得有關資料的副本。如發現副本的個人資料不準確,有權要求改正。
資料收集使用影響範圍廣泛
細看《條例》的六項保障資料原則,部分相當清晰,沒有含糊性,譬如第4原則有關資訊保安,公司必須有一個安全電腦系統,去保障用戶的個人資料。這條保障原則,明顯是應對筆者對上一篇文章提及的第一私隱維度範疇,這項保障原則,相信也沒有人有異見,而事實上各國都有類似的法例。
很顯然,六大原則中,牽涉公眾最廣的是第1 及第3原則。第1原則要求必須以合法與公平方式收集個人或交易對手資料,這觸及前一篇文章提及的私隱第一及第三維度,亦即個人的「隱密」信息及免於受到「監視」(因為監視亦等同資料收集);而第 3原則牽涉如何使用個人資料。
禁止過度收集與使用
進一步闡釋如何合法收集個人資料,按第1原則列明,資料是為了一個合法目的而收集,而「就該目的而言,資料屬足夠但不超乎適度」,否則不得收集。換言之,原則要求合法而適當地收集個人資料。以個人身份証為例作闡釋,對個人來說,身份証號碼是極度重要的資料,很多重要交易都以身份証來認証個人身份。
不過,若然只是參與一個普通抽奬項目,或登記某人是否到過此處,即使今天,仍然有當事機構要求查看個人身份証,甚至進行資料登記,這種行為,顯然是屬於過度地獲取個人資訊。因為當事機構所提供的服務,很多根本沒有獲取個人資料的需要。機構獲取或記錄了超乎服務目的的資訊,不僅對公司帶來更大的潛在資訊保安風險;對公司也沒有實際利益。因此,在私隱條例中,便傾向避免納入這種不必要的做法。
了解法例 提高資料保護意識
至於個人資料使用的第3原則,要求資料不得用於與資料當事人訂明原來使用目的以外的任何目的,亦即不可「過度地」應用個人資料。這原則所規範的行為,明顯牽涉私隱第二維度,即前一篇文章提到直銷來電的滋擾。往往,我們註冊使用某一項服務,向相關服務機構提供了個人的電話號碼,在本港還沒有私隱條例前(《個人資料(私隱)條例》於1996年12月20日正式生效),有些服務機構便利用客戶登記的電話號碼,來做一些和原來登記服務無關的其他服務來電促銷,對個人構成莫大滋擾。此舉無疑是過度地使用了個人的資訊,違反了《個人資料(私隱)條例》的第3原則。
誠然,多了解私隱條例,提高對個人資料保障的意識十分重要。其他的四個原則,另文討論。