當你開展自己的業務時,你很可能需要在你的檔案中保留大量的個人資料。這些資料可能包括姓名、信用卡資料和其他可以識別你的僱員或客戶的賬戶資料。 由於這些資訊經常被用於支付工資、填寫訂單或執行其他必要的業務功能,你必須明白,如果你未能遵守保護客戶的個人資訊的義務,可能會導致法律問題。
個人資料的定義
在香港,規管個人資料和隱私的法例為《個人資料(私隱)條例》(第486章)。 第2條將「個人資料」定義為任何「(a)直接或間接與一名在世的個人有關的;(b)從該資料直接或間接地確定有關的個人的身分是切實可行的;及(c)存在形式令予以查閱及處理均是切實可行的」資料。
你亦需要瞭解《個人資料(私隱)條例》(第486章)附表1的六項保障資料原則。這些原則管理個人資料的收集、保留、使用、保障、查閱及更正的方式。
受隱私條例約束的個人資料
在我們的日常生活中,有一些個人資料明顯地受香港隱私條例約束:
- 姓名
- 身份證號碼
- 指紋
- 照片
- 電話號碼
- 地址
- 性別
- 年齡
- 婚姻狀況
- 職業
- 宗教信仰
- 國籍
- 醫療記錄
- 就業記錄
通過各種資料的組合來識別一個人是可行的,例如個人的地址、電話號碼、年齡和性別。
非個人資料
另一方面,非個人資料是不包含任何用於識別自然人的電子資料。 因此,這些資料要麼不包含任何個人資訊(例如,股票價格和天氣資料),要麼是隨後被偽匿名化(例如,被替換成隨機字串的可識別字串)或匿名化(例如,不可逆轉地刪除所有個人資料)的個人資料。
法例
《個人資料(私隱)條例》(第486章)適用於任何收集、處理、持有和使用個人資料的私人部門和公共部門,包括任何政府部門。 一般來說,該條例規定了收集和使用個人資料的方式,並防止任何侵犯個人隱私的資料濫用行為。
根據該條例第2條,「資料使用者」 是指 「獨自或聯同其他人或與其他人共同控制該資料的收集、持有、處理或使用的人」,而 「資料當事人 」是指 「屬該資料的當事人的個人」。
根據該條例,有六項保障資料原則(載於附表1):
- 第1原則 – 收集目的和方式:你作為一個資料使用者,只應為合法目的,並以公平及合法的方式收集與你的活動或職能直接有關的個人資料。 你亦應告知您的客戶他有責任提供資料抑或是可以自願提供資料,使用他們的資料有甚麼目的,以及如果你直接向他們收集個人資料,他們的資料可能被轉移給誰。
- 第2原則 – 準確性和保留期限:你必須採取所有切實可行的步驟,以確保所有的個人資料是準確的,而保存時間不超過將其保存以貫徹該資料被使用的目的所需的時間。否則,根據該條例第26條,可能構成刑事罪行。
- 第3原則 – 資料的使用: 你不得將個人資料用於任何新的目的,而該目的不是原來的目的或與收集資料時的目的無關,除非你的客戶自願並明確表示同意。你的客戶也可以通過提供書面通知撤回他們早前的同意。有關對個人資料使用的限制,你必須在使用客戶的個人資料進行直接促銷前獲得客戶的知情同意(條例第6A部分)。
- 第4原則 – 資料的保安:你必須採取所有切實可行的步驟以保護其持有的所有個人資料,防止資料被意外或未經授權查閱、刪除、處理、使用或喪失。 如果資料處理者被僱用來處理所持有的個人資料,必須透過合同或其他方式確保該處理者遵守上述的資料保安要求。
- 第5原則 – 公開性和透明度: 你必須採取所有切實可行的步驟,以確保你的個人資料實務和政策、持有的個人資料的種類及持有的主要目的的公開性。
- 第6原則 – 查閱和更正:你的客戶有權要求查閱及更正他們的個人資料。 如果你拒絕客戶查閱或更正其個人資料的要求,你必須提供理由。該條例第5部分載有關於查閱和更正資料的要求的詳細規定。
關鍵要點
- 個人資料受香港《個人資料(私隱)條例》(第486章)的規管。
- 個人資料包含可用於識別個人身分的資訊,而非個人資料則不包含此類資訊。
- 該條例規定的六項保障資料原則規範了個人資料的收集、保留、使用、保安、查閱和更正的方式。
參考書目:
- 香港個人資料私隱專員公署,《個人資料(私隱)條例》:https://www.pcpd.org.hk/tc_chi/data_privacy_law/ordinance_at_a_Glance/ordinance.html