香港《个人资料(私隐)条例》六项保障资料原则
随着粤港澳大湾区建设不断推进,内地与香港的交流活动和联系越来越频繁,越来越多企业通过在香港设点、投资等方式加入香港商业活动,因此,有必要进一步了解和遵守香港在个人资料保护和个人隐私保护方面的相关规定。香港早在1996年12月已生效施行《个人资料(私隐)条例》,修订后的《个人资料(私隐)(修订)条例》(以下简称《条例》)于2021年10月8日生效。《条例》旨在在个人资料方面保障个人私隐。本文将介绍《条例》规定的六项保障资料原则,以帮助读者了解相关重要原则要求。

根据《条例》第4条规定,资料使用者不得作出违反任何该《条例》规定的保障资料原则的作为或从事违反该等原则的行为。个人资料是指与个人相关的、可切实可行用于确定有关个人身份且其存在形式令查阅及处理是切实可行的资料;资料使用者是指独立或联同其他人或与其他人共同控制该资料的收集、持有、处理或使用的人;资料当事人指属该资料当事人的个人。《条例》规定的“保障资料原则”共包括六项原则。

第1原则、收集个人资料的目的及方式个人资料收集目的

为了直接与将会使用该资料的资料使用者的职能或活动有关的合法目的而收集个人资料;

收集资料对实现该合法目的是必须的或直接与该目的有关;

资料收集足够即可,是适度的,不超过有关目的实际需要。

个人资料收集方式

个人资料应当以合法、公平的方式收集;

保证资料当事人被告知:

  • 该资料是有责任提供还是自愿提供;
  • (如属有责任提供)不提供该资料会承受的后果;
  • 该资料会被用于什么目的;
  • 该资料可能会被转移给什么类别的人;
  • 资料当事人要求查阅和改正该资料的权利;
  • 处理有关资料使用者提出的查阅、改正资料要求的个人姓名(或职务头衔)及其地址。
第2原则、个人资料的准确性及保留期间个人资料的准确性

有关个人资料被使用或会被使用于有关目的时,个人资料是准确的;

如果有合理理由相信个人资料是不准确时,则应确保该资料不得被使用(除非由于资料被修正或其他方式使得资料不准确的理由不再适用),或被删除;

如果资料使用者向第三方披露的个人资料不准确的,应当确保第三方获知资料是不准确以及提供相关详细情况确保第三方可以更正资料。

个人资料的保留期间

确保个人资料的保存不超过使用该资料的目的所需的时间;

资料使用者聘用资料处理者处理资料时,应当通过合同约定方法或其他方法,防止转移给资料处理者的个人资料保存时间超过处理该资料所需要的时间。

第3原则、个人资料的使用

除非资料使用者已经获得资料当事人的“订明同意”,否则资料使用者不得将个人资料用于新目的。

如果资料当事人是未成年人或无能力处理本身事务或属精神上无行为能力的人,无能力理解该新目的,也无能力决定是否给予“订明同意”,并且,资料使用者的有关人士有合理理由相信个人资料使用新目的符合该资料当事人利益的,则资料当事人的有关人士可以代该资料当事人给予为新目的而使用其个人资料所规定的“订明同意”。

【据《条例》的释义,“新目的”是指在收集该资料时准备将该资料用于的目的或与之有关目的以外的任何目的,“有关人士”按照《条例》规定的定义执行,包括未成年人的父母等】

第4原则、个人资料的保安

确保持有的个人资料受保障,不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,尤其应当考虑:

该资料的种类以及未获准许的或意外的查阅、处理、删除、丧失或使用发生时会造成的损害;

资料存储地点;

资料存储设备的保安措施;

为确保能查阅该资料的人的良好操守、审慎态度及办事能力而采取的措施;

为确保在保安良好的情况下传送该资料而采取的措施;

资料使用者聘用资料处理者处理个人资料的,资料使用者应当通过合同约定方法或其他方法确保防止资料处理者处理的资料未获准许或意外地被查阅、处理、删除、丧失或使用。

第5原则、资讯须在一般情况下可提供

确保任何人能确定资料使用者在个人资料方面的政策和实务;

能获知资料使用者所持有的个人资料种类;

能获知资料使用者持有个人资料是为了或将会为了什么主要目的使用。

第6原则、查阅个人资料

资料当事人有权:

确定资料使用者是否持有其个人资料

要求在合理期限内、支付合理费用(如有)、以合理方式查阅形式清楚易明的个人资料

有权在查阅请求被拒绝时获知理由

对查阅请求的拒绝提出反对

有权要求改正资料

在要求改正资料的请求被拒绝时获知理由

对更正请求的拒绝提出反对

如果违反了保障资料原则需要承担什么责任呢?

香港行政长官委任个人资料隐私专员,承担就遵守《条例》条文作出监察和监管等职责。如果个人资料隐私专员在完成一项调查后,认为有关资料使用者正在或已经违反《条例》规定的保障资料原则的,则专员可向该资料使用者送达书面通知,指示该资料使用者纠正违反行为,以及采取防止再发生的措施。如果资料使用者违反执行通知的,则属于犯罪,可被处以罚款、监禁。如果任何个人因此蒙受损害的,则该个人有权就损害向有关资料使用者申索赔偿。

天商所数据合规中心深入研究境内外的隐私保护合规、数据合规等相关法律规定和政策文件,为企业、高校、机关事业单位等各类客户主体提供合规咨询、合规体系建设,合规危机管理等多类型法律服务,并依靠强大的平台、人才和资源优势,可联合具有丰富经验的香港律师等境外律师提供包括与个人隐私保护、数据合规等方面相关的法律服务,全方位满足客户需求。欢迎广大的客户朋友联系沟通更多与境内外个人隐私保护、数据合规相关的咨询或需求。

本文作者

胡嘉雯

·广东天商律师事务所管委会副主任、业务建设工作委员会主任、数据合规中心主任,广东省法学会律师学研究会理事

胡嘉雯律师入选某市党政机关外聘法律顾问库、某省数据资产登记合规委员会成员。胡嘉雯律师多年为政府机关、企事业单位提供常年法律顾问服务和专项法律服务,涉及行政执法、行政监管、公司合法合规治理等法律服务事项,具有丰富的实践经验;深入研究数字经济、数据合规、数据交易领域,发表数据合规、数据交易、公共数据授权运营等领域的相关专题文章;代理数百件民商事、行政诉讼案件,有丰富的争议解决和出庭经验。