個人資料私隱
.jpg)
熱門文章
個人資料私隱
- FAQs
在香港,有關濫用個人資料的投訴是由私隱專員公署(PCPD)根據《個人資料(私隱)條例》(第486章)(「條例」)處理。
1. 時限
你應在得知濫用情況之日起兩年內提出投訴。
建議盡早提交,以保留證據。
2. 誰可投訴
任何資料當事人(data subject)如相信資料使用者在處理其個人資料時違反《條例》,均可提出投訴。
3. 如何提出投訴
你可透過以下方式向私隱專員公署以書面形式提交投訴:
- PCPD 網站的網上表格
- 電郵
- 郵寄或傳真
- 親身前往 PCPD 辦事處
4. 需提供的資料
包括:
- 你的姓名及聯絡資料
- 被投訴的機構/人士資料
- 濫用情況的描述(日期、事件、證據)
- 有關文件副本(如往來信件、截圖等)
- 說明你是否已嘗試向有關機構解決問題
5. 投訴程序
- 初步審查 — PCPD 評估事件是否屬《條例》範圍
- 調解 — PCPD 可能嘗試透過調解解決
- 正式調查 — 如懷疑有嚴重違規,PCPD 可根據《條例》第38(b)條展開調查
- 執行通知 — 如確認違規,PCPD 可要求採取補救措施
- 檢控 — 對某些刑事罪行(例如根據第64條的起底行為),PCPD 可直接檢控或轉介警方/律政司
- 通知結果 — PCPD 會告知投訴人結果
6. 特殊情況
起底行為(Doxxing):PCPD 可直接調查及檢控
直銷濫用:PCPD 可根據《條例》第6A部檢控
7. 民事訴訟
如因違反《條例》而蒙受損害,你可根據第66條提出民事索償。
根據《個人資料(私隱)條例》(第486章),違反資料保障原則(DPP)本身不是刑事罪行,但某些違反條例的行為屬刑事罪行,可被判罰款、監禁及承擔民事責任。
1. 違反執行通知
私隱專員如發現違反條例,可發出執行通知(第50條)。不遵守屬刑事罪行:
- 初犯
- 罰款最高港幣50,000元及監禁最高2年,持續違反每日加罰港幣1,000元。
- 再犯
- 罰款最高港幣100,000元及監禁最高2年,持續違反每日加罰港幣2,000元。
2. 直接促銷罪行(第6A部)
未取得明確同意而使用個人資料作直接促銷:
最高罰款港幣500,000元及監禁3年。
未同意下向第三方提供資料以圖謀利益:
最高罰款港幣1,000,000元及監禁5年。
3. 起底罪行(第64條)
兩級刑事制度:
- 第一級(第64(3A)條):未同意下披露個人資料,意圖或魯莽地造成特定傷害 — 最高罰款港幣100,000元及監禁2年。
- 第二級(第64(3C)條):如實際造成特定傷害 — 最高罰款港幣1,000,000元及監禁5年。
4. 未經授權披露以圖謀利益或造成損害(第64(1)條)
未同意下披露從資料使用者取得的個人資料,意圖謀取利益或造成損失 — 最高罰款港幣1,000,000元及監禁5年。
5. 不遵守私隱專員調查權
不遵守第66E(1)條書面通知 — 最高罰款港幣50,000元及監禁6個月(簡易程序),或罰款港幣200,000元及監禁1年(公訴程序)。
提供虛假/誤導資料以欺詐 — 最高罰款港幣100,000元及監禁6個月(簡易程序),或罰款港幣1,000,000元及監禁2年(公訴程序)。
6. 其他刑事條文
違反停止通知(第66O條) — 初犯最高罰款港幣50,000元及監禁2年,再犯刑罰更高。
違反第26條(未刪除不再需要的資料) — 最高罰款港幣10,000元。
7. 民事責任
第66條:資料當事人可就違反條例造成的損害提出民事索償。
私隱專員可提供法律協助(第66B條)。
根據《個人資料(私隱)條例》(第486章),個人(資料當事人)對其由資料使用者**持有的個人資料享有多項法定權利。
1. 知情權
查明資料使用者是否持有其個人資料(DPP6,第18條)。
有權獲知:
收集資料的目的。
資料可能轉移予的類別。
提供資料是否屬必須或自願。
不提供資料的後果。
查閱及改正資料的權利。
2. 查閱權
資料當事人有權要求資料使用者提供其持有的個人資料副本。
(DPP6,第18–28條)
必須以書面提出(查閱資料要求 — DAR)。
資料使用者須在40天內回覆。
可收取不超過直接成本的合理費用。
資料須以可理解的形式提供。
3. 改正權
如資料不準確,資料當事人可要求改正(第23條)。
如確認不準確,資料使用者須在40天內改正。
如拒絕,須書面說明理由。
4. 防止直接促銷的權利
個人可要求資料使用者停止使用其個人資料作直接促銷及/或停止向第三方提供作直接促銷(第6A部)。
直接促銷須取得明確、自願、知情的同意,沉默不構成同意。
撤回同意須以書面提出。
5. 索償權
如資料使用者違反條例並造成損害,資料當事人可提出民事索償(第66條)。
私隱專員可提供法律協助。
6. 刪除權(有限)
條例沒有一般性的「被遺忘權」。
根據第26條,當資料不再需要作原用途時,資料使用者須刪除,除非法律禁止或符合公共利益。
7. 投訴權
如認為資料使用者違反條例,可向私隱專員公署投訴。
專員可調查、發出執行通知及檢控某些罪行。
8. 豁免
- 權利在某些情況下可受限制(第8部),例如:
- 防止或偵查罪行(第58條)。
- 健康理由(第59條)。
- 法律專業保密權(第60條)。
- 僱傭相關豁免(第53–56條)。
- 新聞活動(第61條)。
- 統計及研究(第62條)。
根據《個人資料(私隱)條例》(第486章),資料保障原則第4(DPP4)要求資料使用者採取一切可行措施,防止個人資料遭到未經授權或意外的查閱、處理、刪除、遺失或使用**。
機構必須採取與以下因素相稱的保安措施:
- 資料的性質。
- 資料外洩可能造成的損害。
- 有權查閱者的誠信、謹慎及能力。
1. 法律要求(DPP4)
資料使用者須採取一切可行措施,確保所持有的個人資料不會遭未經授權或意外的查閱、處理、刪除、遺失或使用。
2. 建議保安措施
機構應採取技術及行政保障:
3. 不合規的後果
私隱專員可發出執行通知。
不遵守通知屬刑事罪行。
受影響的資料當事人可提出民事索償。
是的,個人資料可以轉移到香港以外,但必須遵守《個人資料(私隱)條例》(第486章)及其資料保障原則(尤其是DPP1及DPP3)。
條例中的第33條專門規管跨境資料轉移,但目前尚未生效。因此,現時法律並沒有全面禁止將個人資料轉移至香港以外,只要符合其他條例規定即可。
1. 現行法律狀況
沒有全面禁止海外轉移的生效條文。
轉移必須符合:
- DPP1(3) — 在收集資料時或之前,須告知資料當事人資料可能轉移予哪些類別的人,包括海外接收方。
- DPP3(1) — 資料只能用於原先聲明的目的或直接相關的目的,否則須取得資料當事人的明確同意。
2. 跨境轉移的最佳做法
雖然第33條尚未生效,私隱專員公署建議:
明確告知資料當事人資料將轉移至香港以外。
確保海外接收方提供相當水平的資料保障。
以合約條款約束海外接收方遵守等同PDPO的義務。
3. 第33條(尚未生效)
一旦生效,第33條將禁止將個人資料轉移至香港以外,除非目的地司法管轄區:
- 有與PDPO大致相同的法律;或
- 資料使用者已採取措施確保接收方會按PDPO標準保障資料;或
- 資料當事人在獲告知可能後果後明確同意。
4. 相關罪行
如果海外轉移涉及:
在未同意的情況下作新用途 — 違反DPP3。
在未同意下披露資料以圖謀利益或造成損害 — 可能觸犯第64條(包括起底罪行)。
是的。
根據《個人資料(私隱)條例》(第486章)的資料保障原則第六(DPP6)及第5部,資料當事人(即該個人資料所涉及的人)有法定權利向資料使用者要求查閱其持有的個人資料。
1. 法定查閱權
資料當事人有權確定資料使用者是否持有其個人資料,並取得該資料副本。
(DPP6,第18條)
2. 提出申請的方法
稱為查閱資料要求(DAR)。
必須書面提出 — 私隱專員公署提供標準表格(OPS003)。
申請應清楚列明:
- 所需查閱的個人資料。
- 是否要求查閱、改正或兩者兼有。
3. 資料使用者的義務
- 必須在收到DAR後40天內回覆。
- 如不能在40天內完成,須書面通知申請人原因,並盡快完成。
- 可收取合理費用,不得超過直接成本。
- 必須以可理解的形式提供資料。
- 如拒絕,須書面說明理由。
4. 改正權
如資料當事人認為資料不準確,可要求改正。
若資料使用者確認資料不準確,必須在40天內作出改正。
5. 豁免情況
在某些情況下可拒絕查閱要求(第8部),例如:
- 防止或偵查罪行(第58條)。
- 健康理由(第59條)。
- 法律專業保密權(第60條)。
- 僱傭相關豁免(第53–56條)。
- 新聞活動(第61條)。
6. 執行
如資料使用者無合理豁免而不遵守:
私隱專員可發出執行通知。
不遵守通知屬刑事罪行。
資料當事人亦可根據第66條提出民事索償。
是的。資料使用者在使用個人資料進行直接營銷前,必須先獲得資料當事人的同意。他們必須明確告知當事人其使用意圖,具體說明將使用哪些個人資料以及涉及哪些營銷活動類別,同時還需提供免費且便捷的方式讓資料當事人表示同意。
所有資訊必須以清晰易懂的方式呈現,以幫助當事人作出知情的決定。此外,若資料使用者首次使用個人資料進行直接營銷,必須通知資料當事人其有權選擇退出。若當事人選擇退出,則必須停止將相關資料用於該等用途。
- 收集目的與收集方式:
個人資料的收集必須為合法目的,且與資料使用方的職能/活動直接相關。收集的資料應當適度且不超過必要範圍。同時,須告知資料當事人資料收集的相關事宜。
- 準確性與保存期限:
資料使用者應確保資料的準確性並及時更新。更重要的是,保存時間不得超過實際需要。
- 個人資料的使用:
除非獲得規定同意,否則收集的資料不得用於當初收集時未說明的新的用途。
規定同意指資料當事人自願作出的明確同意。
- 個人資料的安全:
資料使用者須採取切實可行的措施,防止未經授權或意外的查閱、處理、遺失或使用。
- 透明度:
資料使用者應公開其關於個人資料(非實際資料)處理的政策與實踐。
- 查閱與修正:
資料使用者應允許資料當事人確認是否持有其資料、查閱資料,並提出修正要求。若發現資料內容不準確,資料當事人可要求資料使用者更正記錄。
在香港,《個人資料(私隱)條例》(第486章)適用於任何「資料使用者」,包括私營及公共部門(例如政府部門),只要該人收集、持有、處理或使用個人資料,就必須遵守條例。
1. 「資料使用者」的定義
第2條定義:
指單獨或與其他人共同控制收集、持有、處理或使用個人資料的人。
例如:
- 公司(如銀行、電訊商、零售商、僱主)。
- 獨資經營者及合夥人。
- 政府部門及法定機構。
- 非政府組織及慈善團體。
- 學校及教育機構。
- 專業執業者(如律師行、診所)。
2. 觸發遵守義務的活動
在香港收集、持有、處理或使用個人資料的,必須遵守**資料保障原則(DPPs)**及其他條文,包括:
- 合法及公平收集(DPP1)。
- 準確性及保留期限限制(DPP2)。
- 只作聲明目的或獲同意後使用(DPP3)。
- 安全保障措施(DPP4)。
- 公開資料政策(DPP5)。
- 查閱及更正權利(DPP6)。
3. 豁免情況
某些情況可豁免部分或全部條例規定(第8部),例如:
- 家庭或娛樂用途(第52條)— 純屬個人使用。
- 司法職能(第51A條)。
- 僱傭相關豁免(第53–56條)。
- 防止或偵查罪行(第58條)。
- 健康理由(第59條)。
- 法律專業保密權(第60條)。
- 新聞活動(第61條)。
- 統計及研究(第62條)。
- 緊急情況(第63C條)。
在香港,「個人資料」的定義載於《個人資料(私隱)條例》(第486章)第2條。
法定定義
「個人資料」指任何資料 —
(a) 直接或間接與一名在世人士有關;
(b) 可切實地直接或間接查出該人士的身分;及
(c) 以可切實查閱或處理該資料的形式存在。
個人資料包括:
- 姓名
- 身份證號碼
- 地址
- 電話號碼
- 生物識別數據
- 醫療紀錄
- 以及任何可用以識別身份的資料。