《個人資料(私隱)條例》與香港個人資料保護:您的權利說明
香港的《個人資料(私隱)條例》(第486章)賦予您對個人資料的具體權利。了解《私隱條例》對公司的要求、PCPD 如何執行這些要求,以及如何在數據洩露後行使您的法律權利。
香港的《個人資料(私隱)條例》(第486章)賦予您對個人資料的具體權利。了解《私隱條例》對公司的要求、PCPD 如何執行這些要求,以及如何在數據洩露後行使您的法律權利。
《個人資料(私隱)條例》(《私隱條例》↗,第486章)是香港的主要資料保護法例,於1995年制定,並於2021年進行了重大修訂。《私隱條例》制定了六項保障資料原則(DPP),規範機構——稱為「資料用戶」——必須如何收集、使用、存儲和共享個人資料。六項保障資料原則涵蓋:收集目的和方式;準確性和保留;用於原始目的;資料安全;關於資料政策的透明度和公開性;以及查閱和更正權利。任何從香港居民收集個人資料的機構——無論機構是否設於香港——都可能受《私隱條例》要求的約束。個人資料私隱專員公署(PCPD)是負責執行該條例的獨立監管機構。
2021年《私隱條例》修訂大幅強化了法律的執法工具。修訂引入了強制性數據洩露通知義務——遭受數據洩露的公司必須「盡快」通知 PCPD 和受影響的個人——取代了之前的自願通知框架。修訂還就網絡欺凌(披露個人資料意圖傷害)創設了新的刑事罪行,引入了提高的罰款等級(嚴重違規最高100萬港元的罰款和監禁5年),以及擴大了 PCPD 的調查和執法權力。這些變化使《私隱條例》更接近歐盟《通用資料保護條例》設定的標準,儘管香港的框架在技術安全要求方面不如歐洲法律規定詳盡。
對香港居民而言,《私隱條例》的實際意義是它作為「資料當事人」——其資料被收集的個人——賦予您的一套權利。最重要的權利包括:了解機構持有關於您的哪些個人資料的權利(資料查閱要求);要求更正不正確資料的權利;反對直接促銷的權利;在您認為資料被不當處理時向 PCPD 投訴的權利;以及自2021年修訂以來,在影響您資料的洩露發生時獲得通知的權利。這些權利適用於銀行、保險公司、僱主、政府部門、公用事業公司、醫療服務提供者以及任何收集了您個人資料的其他機構持有的資料。
查閱持有關於您的個人資料的權利是 《私隱條例》↗ 中最強有力的權利之一。根據保障資料原則6,您可以向持有您個人資料的任何機構提交資料查閱要求(DAR),要求提供他們持有的所有資料的副本。機構必須在40天內作出回覆(2021年修訂之前為30天,以容納更複雜的要求)。他們必須以可理解的形式提供資料,並可收取合理費用(通常上限為50至200港元,視機構而定)。如果機構拒絕、在40天內未作回覆或提供不完整的回覆,您可以向 PCPD 投訴。資料查閱要求在懷疑身份盜竊事件後尤其有用——從銀行、信貸資料服務機構、政府數據庫和其他機構獲取您的完整記錄,可以揭示他們持有的資料,以及是否有任何未授權的更改。
更正權利(保障資料原則6,第22條)允許您要求更正不正確的個人資料。這對身份盜竊受害者至關重要:如果騙子更改了您在銀行注冊的地址、添加了欺詐性受益人,或導致政府機構創建了不正確的記錄,根據《私隱條例》的正式資料更正要求,對機構施加了調查和更正不準確信息的法律義務。配合警察報告號碼效果最佳——《私隱條例》的更正權利結合正式的欺詐投訴,為解決問題創造了民事和刑事雙重途徑。拒絕更正您記錄中明顯不準確資料的機構可能因違反保障資料原則6而被舉報至 PCPD。
反對直接促銷的權利(《私隱條例》第6A部分)允許您隨時選擇退出直接促銷對您個人資料的使用。與網絡安全更相關的是,《私隱條例》的使用限制原則(保障資料原則3)禁止機構將您的個人資料用於收集時未披露的目的以外的用途。如果公司未經您同意將您的資料共享給第三方,而該第三方的資料隨後在洩露中流出,原始公司可能違反了保障資料原則3。即使公司沒有直接遭受洩露,這也創造了可採取行動的《私隱條例》投訴。PCPD 已就資料處理者(第三方服務提供者)和資料共享發布了指引,在與處理者共享資料時對公司施加了確保足夠合同保護的義務。
2021年《私隱條例》修訂引入的強制性數據洩露通知義務,顯著改變了香港居民的格局。當公司遭受數據洩露時,必須「盡快」通知 PCPD——PCPD 的指引建議,對於嚴重洩露,這通常意味著5天內,儘管條例本身使用「盡快」而非規定固定時限。同時,必須以允許受影響個人採取保護措施的方式通知受影響的個人。通知必須至少包括:被訪問或披露的資料描述;洩露的可能後果;所採取或擬採取的措施;以及進一步查詢的聯絡方式。未能達到這些通知義務的公司將面臨修訂後《私隱條例》下的處罰。
在實踐中,香港公司洩露通知的質量和及時性差異相當大。受監管的大型金融機構(受金管局監管的銀行、受保監局監管的保險公司)往往擁有更健全的事故應對程序和更透明的洩露通知,部分原因是其主要監管機構(金管局、保監局)有獨立於《私隱條例》的網絡安全和事故報告要求。較小的公司和非監管實體可能提供不那麼全面的通知,或在發現和披露洩露方面較慢。PCPD 已就洩露處理發布指引,並設有專門的洩露調查團隊,但相比每年影響香港居民的洩露數量,執法資源有限。
如果持有您資料的公司遭受洩露,您應該期待收到什麼通知?通知應是直接的(電郵或郵件發送至您的注冊聯絡詳情,或數字服務的應用內通知),清楚說明受影響的資料,並具體說明您應採取的保護步驟。如果您收到的洩露通知含糊、難以理解或缺乏具體指導,您有權根據保障資料原則6(資料查閱)和保障資料原則5(透明度)向公司要求更多信息。如果公司的洩露應對措施不充分——特別是如果他們延遲通知、本應通知卻沒有通知,或提供了關於洩露範圍的誤導性信息——向 PCPD 投訴是適當的。PCPD 可要求更多信息並調查公司應對措施的充分性。
向 PCPD 提出投訴是一個結構化的流程,首先要向有關公司窮盡您的補救措施。PCPD 通常要求投訴人在接受正式投訴之前,先嘗試直接與資料用戶解決問題。向公司書面說明違規情況、您尋求的補救措施,並給予他們合理的時間框架(通常為30天)作出回覆。保留所有通信的副本。如果公司未能充分回覆,請繼續提出 PCPD 投訴。投訴可以通過 pcpd.org.hk/complaint 在線提交,通過電郵([email protected])提交,或親自前往 PCPD 位於灣仔皇后大道東248號12樓的辦事處提交。PCPD 還在 2827 2827 設有私隱查詢熱線(星期一至五,上午9時至下午5時)。
PCPD 投訴流程涉及幾個階段。收到您的投訴後,PCPD 首先評估其是否在《私隱條例》的範圍內,以及是否有適當的依據。如果投訴被受理,PCPD 將通知資料用戶(公司)並邀請其作出回覆。PCPD 可向雙方要求文件證據、進行訪談,在嚴重情況下行使其調查權力訪問公司系統和記錄。對於涉及大規模數據洩露的複雜調查,該流程可能需要6至18個月。PCPD 就重要案件發布指引說明和調查報告,這有助於了解類似投訴的解決方式和預期的證據標準。
PCPD 投訴的結果從非正式解決(公司同意更正資料或改善做法)到執行通知(具有法律約束力的指示採取特定行動)再到轉介檢控以處理刑事違規。PCPD 還可以發出公開譴責和發布執行通知——公開的 PCPD 執法行動的聲譽後果對企業而言是重大的,這對合規創造了有意義的壓力。對身份盜竊受害者而言,最有價值的實際結果包括:公司被指示更正欺詐性記錄(支持您的信貸資料服務機構和貸款機構異議);公司提供被洩露資料的完整詳情(支持您的保護措施);以及在相關情況下,創建有助於香港警務處進一步刑事訴訟或民事訴訟的記錄在案的調查記錄。
