香港个人资料私隐专员公署(下称「私隐专员公署」)负责监督《个人资料(私隐)条例》(香港法例第486章)(下称「《私隐条例》」)的执行情况,该条例旨在保障与个人资料有关的个人私隐。

根据政制事务委员会最近于2024年2月19日的会议上就私隐专员公署的工作所发出的背景资料简介,私隐专员公署现正研究进一步修订《私隐条例》以加强对个人资料的保护。

拟议的修订内容包括设立强制性资料外泄通报机制、要求资料使用者制订个人资料保留时限政策及赋予私隐专员公署判处行政罚款的权力。一旦完成具体草案的拟定后,便将会征询政制事务委员会的意见。

以下摘要重点介绍了《私隐条例》中与私隐专员公署所提出的修订建议有关的一些关键点:

重要释义:

  • 资料使用者(Data user):控制个人资料的收集、持有、处理或使用的人。
  • 个人资料(Personal data) 指符合以下说明的任何资料— (a) 直接或间接与一名在世的个人有关的;(b) 从该资料直接或间接地确定有关的个人的身分是切实可行的;及 (c) 该资料的存在形式令予以查阅及处理均是切实可行的。
  • 敏感个人资料(Sensitive personal data):《私隐条例》没有对「敏感个人资料」作出具体定义。
  • 然而,香港个人资料私隐专员公署(下称「私隐专员公署」)已发出实务守则/指引,就某些类别的个人资料(例如身份证号码、信贷资料、生物识别资料及任何个人身份识别资料)订明具体规定。
  • 资料外泄事故(Data breach):资料使用者持有的个人资料怀疑或已经遭到外泄,令该个人资料有被未获准许的或意外的查阅、处理、删除、丧失或使用的风险。
  • 保障资料原则:《私隐条例》附表1所载的原则,概述资料使用者应如何收集、处理和使用个人资料。

个人资料保留要求

根据《私隐条例》第26条及第2保障资料原则 ,资料使用者必须采取所有切实可行的步骤,在不再需要为贯彻特定目的而持有个人资料时,将其删除。现行的框架没有就“多长时间被认为是过长”的问题提供具体指引。

根据香港特区政府在2024年4月24日发表题为《立法会二十二题:个人信贷资料的私隐保障》的新闻稿,私隐专员公署正审视《私隐条例》,并考虑要求资料使用者制订个人资料保留时限政策 ,为资料当事人提供充分保障。

资料外泄事故的通报

目前,《私隐条例》中并没有设立强制性资料外泄通报机制,以要求资料使用者向私隐专员公署或受影响的资料当事人报告资料外泄事件。私隐专员公署目前仅是鼓励资料使用者通过「资料外泄事故通报表格」向其通报有关事故所涉及的个人资料类型、资料外泄的日期、受影响的人数、对资料外泄的风险评估以及已采取的补救措施。

根据香港特区政府在2024年4月24日发布题为《立法会二十二题:个人信贷资料的私隐保障 》的新闻稿,私隐专员公署正考虑设立强制性个人资料外泄通报机制 ,定义何谓个人资料外泄事故及规定通报的门槛和时限等。

私隐专员公署的主要权力

私隐专员公署是负责监督《私隐条例》执行情况的法定机构并拥有以下主要权力,以确保在香港的资料私隐得到保障:

  • 视察权: 根据《私隐条例》第36条,私隐专员公署拥有视察权,可对资料使用者使用的任何个人资料系统进行视察,以作出关于促进该资料使用者遵守《私隐条例》的建议。
  • 调查和执行权: 私隐专员公署拥有调查及执行权,以确保《私隐条例》得到遵守。这包括对《私隐条例》的违反进行调查、发出执行通知书,以及对违反《私隐条例》的人士采取法律行动的权力。然而,私隐专员公署现时无权处以行政罚款。私隐专员公署正考虑修订《私隐条例》,赋予私隐专员公署判处行政罚款的权力。
  • 处理投诉: 私隐专员公署负责处理有关滥用或不当处理个人资料的投诉。如果个人认为自己的隐私权受到侵犯,可以向私隐专员公署提出投诉。私隐专员公署会调查这些投诉,并采取适当行动解决有关问题。
  • 指引及政策制定 : 私隐专员公署定期发出指引报告,就在香港保护个人资料及确保私隐权的最佳做法提出建议。私隐专员公署亦积极推动有关保障个人资料的政策制定,并参与讨论和咨询,以制定香港的隐私法律和法规。


杨杨朱律师事务所有限法律责任合伙与北京天达共和(香港)律师事务所 联营

本篇文章仅是对有关题目提供的一般概述,并非旨在成为可依赖的专业意见。请联系我们获取进一步的具体法律意见。