「 個人資料 」 指任何與一名在生人士直接或間接有關的資料,而透過這些資料可切實可行地確定某人的身分。個人資料亦必須以紀錄形式存在 (例如文件或錄影帶),並可以再製成副本。關於個人資料的法律定義,可參閱 《個人資料 ( 私隱 ) 條例》第2條 。
日常生活中個人資料的例子包括姓名、身分證號碼、電話號碼、地址、性別、年齡、職業、薪金、國籍、相片及醫療紀錄等。
私隱條例於 1996 年 12 月 20 日正式生效。條例適用於任何收集、持有、處理或使用個人資料的人士,當中包括私營機構、公營機構及政府部門。概括來說,條例規管個人資料的收集和使用方式,並防止任何人因濫用個人資料而侵犯到他人的私隱。
根據香港現行之成文法及普通法 ,只有個人資料受到 私隱 條例的保障。 《 香港人權法案 》第14條 訂明 “ 任何人之私生活、家庭、住宅或通信,不得無理或非法侵擾,其名譽及信用,亦不得非法破壞。”但是,私隱條例並無涵蓋個人資料以外的所有私隱問題。
私隱條例訂明的六項保障資料原則
任何人士或機構在收集、持有、處理或使用 個人資料時,必須遵守條例 第4條及 附表1 訂明的六項保障資料原則。(註: 被收集個人資料的當事人稱為 「 資料當事人 」 ,而收集他人的個人資料的人士或機構則稱為「 資料使用者」。)
第一項原則 ─ 收集個人資料的目的及方式
個人資料必需要為合法目的而收集,收集目的亦須直接與使用該等資料的資料使用者之職能或活動有關 。所收集到的資料足夠便可,而不應超過有關目的之實際需要。
個人資料須以合法及公平的方式收集。舉例,盜用他人的銀行戶口紀錄或信用咭資料,便屬於用不合法的方式去收集個人資料。如果某人 / 機構蓄意用誤導的手法來收集個人資料,便屬不公平的收集方式。舉例,如果一間公司藉著招聘活動去收集求職人士的個人資料,但其實無意招聘任何人,而只是用招聘的藉口去收集資料,那麼該公司就是用不公平的手法收集個人資料。
向個別人士 (即 資料當事人 ) 收集個人資料時,必須告知他們下列事項,包括:
- 該等資料將會用於甚麼目的/用途;
- 該等資料可能會轉交予甚麼類別的人;
- 當事人是否有責任(或只是自願性)提供該等資料 ;
- 若當事人不提供該等資料所須承受的後果;及
- 當事人有權要求查閱及改正該等資料。
第二項原則 ─ 個人資料的準確性及保留期間
資料使用者必須確保所持有的個人資料是準確及最新近的。如資料使用者懷疑所持有的個人資料並不準確,就應該立即停止使用有關資料。資料的保存時間,不能超過使用該等資料而達到原定目的之實際所需。
第三項原則 ─ 個人資料的使用
除非得到資料當事人的「訂明同意」,否則資料使用者不可以改變個人資料的用途,而只可將資料用於當初收集資料時所述明的用途 (或與其直接有關的用途)。「訂明同意」是指資料當事人明確及自願給予的同意。
第四項原則 ─ 個人資料的保安
資料使用者必 須採取適當的保安措施去保護個人資料。他們必須確保個人資料得到足夠保障,以避免有人在未獲准許或意外的情況下,去查閱、處理、刪除或者使用該等資料。
第五項原則 ─ 資訊須在一般情況下可提供
資料使用者須公開 所持有的個人資料之類別 (不是資料內容) ,並公開其處理個人資料的政策及實務。最佳做法是制訂一份「私隱政策聲明」,內容可以包括有關資料的準確性、保留期、保安、使用、如何處理由資料當事人提出的查閱資料及改正資料要求。
第六項原則 ─ 查閱個人資料
資料當事人有權向 資料使用者查 證是否持有其個人資料,以及有權要求獲得有關資料的副本。如發現副本內的個人資料不準確,則有權要求改正有關資料。
資料使用者 須在法定的 40 日內,依從有關查閱資料及改正資料的要求。如未能在指定時限內處理,亦須在 40 日內作出回覆及述明理由。