作者:莫乃光 | 评论(0) | 标签:八达通, 个人资料, 私隱专员, 香港, 私隱
八达通公司出卖客户个人资料,令全城关注。在这个年头,市民对个人私隱愈来愈重视,不过,一般市民甚至企业管理人员,甚至处理大量个人资料的机构,究竟对私隱的概念有多清楚?机构和企业知道怎样合法或合理地处理个人资料吗?市民自己又知道如何自保吗?
首先,一般人谈起私隱一词,对不同的人会有不同的解读,不过,在香港的法律上,个人资料(私隱)条例適用於「可切实用以確定」香港的任何在世人士(资料当事人)的身份的资料,並控制个人资料的收集、持有、处理或使用的人士(资料使用者)。例如,我的身份证號码可用作確定我的身份,是条例保护范围,但我不想別人知道我有些坏习惯,我虽然会认为是我的「私隱」,但这並非法律管制范围。
总结法例对资料使用者处理个人资料,有 6 项保障资料原则(Data Protection Principles, DPP)如下:
(DPP1)收集资料的目的及方式:订明须以合法及公平的方式收集个人资料,以及列明资料使用者在向资料当事人收集个人资料时,应向该当事人提供的资料。(例如,八达通的「细字」条款,是否合理,当事人是否知情?)
(DPP2)个人资料的准確性及保留期间:订明所保存的个人资料必须是准確和最新的资料,而保存期间不得超过实际需要。
(DPP3)个人资料的使用:订明除非获得资料当事人同意,否则个人资料只可用於在收集资料时所述明的用途或与其直接有关的用途。(八达通的客户是否可当作已同意出售他们的个人资料?)
(DPP4)个人资料的保安:订明须採取適当保安措施保障个人资料。(例如医院管理局、消防局、警务署、银行等是否已有適当措施保障资料安全?)
(DPP5)资讯须在一般情况下可提供:订明资料使用者须公开所持有的个人资料类別,以及该等个人资料所作的主要用途。(八达通一直不能直说甚么资料被卖了给谁作甚么用途?)
(DPP6)查阅个人资料:订明资料当事人有权查阅及改正其个人资料。(有个案指八达通或港铁不能向用户提供八达通交易资料,会否已触犯这原则?)
所以,这些保障资料原则实际上不难明白。笔者十几年前在互联网供应商工作,因要收集用户个人资料,自己就「自修」一下,再加一点关怀用户权益的同理心,不要只顾方便自己公司,或为赚最多的钱,就足够了。
到了现在,当八达通出了事,传媒纷纷向相关公司追逼,有些社论又「指定动作」地叫政府检討法例,好呀,检討甚么,应怎样修改?去年底条例公眾諮询时媒体和市民有关注吗?当时政府只肯小修小补,不肯给予私隱专员更大权力,当时的私隱专员吴斌提出了一系列建议,政府差不多全部置之不理。媒体和立法会似乎只有兴趣追问专员为甚么租了个太大的办公室,「浪费公帑」。结果,政府宣布找一个曾经被指侵犯员工私隱的前邮政署长公务员接任。除了八达通,是谁后知后觉?
没有正確面对个人私隱的態度,不会懂得法例以內的要求以至法例以外的社会期望,不只必会出事,出事后也不会晓得如可作风险管理;这是我们的社会和商业各界要正视的。老套点说,这次只是冰山一角。
刊载於《Hitech》 2010年8月5日
http://charlesmok.blogspot.com/2010/08/101.html
请看原文:
私隱101
.png)
