个人资料私隐条例.docVIP

香港社區組織協會 回應檢討《個人資料(私隱)條例》諮詢文件意見書 引 言 香港特別行政區政府在個人資料私隱專員的協助下，決定全面檢討現行《個人資料(私隱)條例》(下稱「私隱條例」)，並展開為期三個月的公眾諮詢。私隱條例自1996年生效，至今已有十三年，當局遲至2009年8月才展開諮詢，實在遠遠追不上市民對私隱的關切及社會發展步伐。現時諮詢雖來遲，但亦希望當局能撥亂反正，在公眾諮詢後儘快修訂法例，以免與國際社會人權標準及文明脫節。 除了資料科技迅速發展、互聯網的使用變得普及外，市民對個人資料的保障及私隱意識亦日益。再者，外國對私隱權利的立法，以至實行普法地區對涉及私隱權的決，亦對本港修訂私隱條例，提供莫大的參考。因此，本將從過往十多年條例執行的問題及外國的經驗，回應諮詢文件各項的建議。 敏感個人資料建議1：敏感個人資料 敏感個人資料涵蓋的範圍 現行私隱條例並沒有區別敏感個人資料與非敏感個人資料。由於不同種類的個人資料涉及不同程度對個人的描述或紀錄，資料外洩所造成的傷害及損害遠比過往深遠；若涉及的屬敏感資料，其洩漏或向第三者意外披露有關資料可能對資料當事人造成更重大損害。因此，本會認同有必要在定義上更清晰及仔細地區分敏感和非敏感個人資料，以強化對個人私隱的保障。 至於何謂敏感個人資料，本會認為應有關資料必須具備下列特點： 有關個人的隱密資料，例如身體特徵、健康狀況或個人信念；以及 極可能用以作出歧視性決定的資料。 參考海外國家經驗，敏感個人資料應包括：生物特徵(如：瞳孔特徵、掌紋、指模、基因資料)、種族或民族本源、政治意見、宗教或哲學信仰、工會會籍、健康狀況、性生活情況、刑事記錄等。由於敏感的定義或隨著時代轉變而有所改變，在強調保障個人資料私隱的大原則下，本會認為有關定義應採取寬鬆的立法模式，法例亦應容讓，從而為個人資料私隱提供更佳保障。 有關處理敏感個人資料的規定 由於敏感個人資料涉及較深度的私隱，因此，在收集、持有、處理和使用敏感個人資料時，需要有更嚴格的規定。本會認同除非符合下述情況，否則禁止收集、持有、處理和使用（統稱“處理”）敏感個人資料： (a) 獲得資料當事人的訂明同意(即自願而明確的同意)； (b) 資料使用者為行使法律所授予的權力，或履行法律訂明的責任而必須處理有關資料； (c) 雖未能取得資料當事人的訂明同意，但為保障資料當事人或其他人的重要利益而必須處理有關資料； (d) 資料使用者在履行其合法職能和進行合法活動時處理有關資料，並已採取了適當措施，防止資料在未得資料當事人的訂明同意而轉移至或洩漏給第三者； (e) 資料當事人已明顯地公開了有關資料； (f) 為醫療目的而必須處理有關資料，而處理資料的是一個專業醫護人員，或是一個在該情況下負有保密責任的人（等同專業醫護人員的保密責任）；或 (g) 因涉及法律程序而必須處理有關資料。 違反規定的制裁 目前，違反保障資料原則本身並非犯罪。私隱專員獲授權向資料使用者發出執行通知，以糾正違規事項。違反執行通知則屬犯罪，一經定罪，可處第5級罰款（最高可達50,000元）及監禁兩年；如屬持續罪行，可處每日罰款1,000元。然而，有關刑罰往往被批評為過輕，既未能反映過錯的嚴重性，實際執行上亦缺乏阻力。 本會認為，為突顯敏感個人資料的重要性，在考慮法例中保障資料原則的原意下，若有人在處理敏感個人資料時，因疏忽而違反遵守保障資料原則，則私隱專員可發出執行通知，不遵從執行通知者會接受較因披露非敏感個人資料的為重刑罰。 此外，若有人在惡意或蓄意損害個人資料，不論是敏感或非敏感個人資料，均應定為刑事罪行予以檢控。為反映嚴重性，若涉及敏感個人資料，並惡意或蓄意下違反保障資料原則，被告人將要面對較高的刑罰。(見下表) 因疏忽而 違反保障資料原則 惡意或蓄意下 違反保障資料原則 敏感個人資料 發出執行通知，不遵從者會接受較重刑罰。 訂立刑事罪行予以檢控，最高刑罰較。 非敏感個人資料 發出執行通知，不遵從者會接受較輕刑罰。 訂立刑事罪行予以檢控，最高刑罰較輕。 不溯既往的豁免或過渡性安排的需要 雖然新修訂的法例理應對法例實施以後的行為產生約束力，然而，若有關行為(即收集、持有、處理和使用個人資料)屬持續進行，為突顯私隱權及個人資料的重視，本會認為在制訂新規定後，指明一個過渡性時期，期間敏感個人資料的處理可獲豁免，不受新規定的規管在過渡性時期之後，資料使用者在處理敏感個人資料時，則需符合新的規定。這樣既可避免現時絕大部份的資料使用者避開新法例規管，同時亦促使資料使用者主動地檢視過去搜集的是否屬敏感個人資料，是否有必要繼續收集或使用，以符合新法例的要求。 資料保安 建議2：規管資料處理者及分判活動 根據私隱條例第2(12)條的規定，如某人純粹為另一人，而並非為其任何本身