在查閱公共領域資料與保障個人資料之間劃分界線

許多人認為存在於公共領域,而不是從資料當事人直接收集的個人資料,是可以毫無限制地使用的。這並不正確。

公共領域資料來源的例子包括:
 

 

公共領域資料的來源 個人資料的種類
公司登記冊 (周年申報表及其他訂明表格所顯示)
  • 董事及秘書的姓名
  • 董事及秘書的身份證號碼或護照號碼
  • 董事及秘書的住址
  • 董事及秘書的電郵地址(自願提供)
擬結婚通知書
  • 新郎及新娘的姓名
  • 新郎及新娘的婚姻狀況
  • 新郎及新娘的出生日期
  • 新郎及新娘的住址(只限街名及地區)
選民登記冊
  • 選民的姓名
  • 選民的地址
專業名冊(例如:律師名冊/大律師名冊)
  • 會員姓名
  • 會員地址
  • 一些名冊會列載在何時及何處取得專業資格
  • 聯絡資料,例如會員的電話號碼、傳真號碼及電郵地址
  • 發牌條件(如有)


公共領域資料是沒有「版權」的。有些人則曲解已公開的資料,便不再是「秘密」,因此無需保護。但把資料保密或遵守保密責任,與保障個人資料的概念並不完全相同。前者是基於合約或受託關係的責任。後者是體現《基本法》下,私隱受保障的基本權利。


公共領域的個人資料受法律保障

在私隱條例於1995年制定之前,法律改革委員會曾小心考慮公共登記冊應否完全獲《個人資料(私隱)條例》私隱條例豁免,其結果是否定了。在最近修訂私隱條例的公眾諮詢中(修訂條文於2012年10月1日及2013年4月1日生效),政府重申「我們認為資料存在於公共領域並不等於容許把有關資料用於任何用途」。上訴法庭在今年二月一宗案件的判決(Re Hui Kee Chun, CACV 4/2012)亦確立這觀點。

若相反的觀點變成真實,可以想像後果會如何?首先,資料使用者只須故意公開資料,便可以繞過法律。再者,因意外而洩露至公共領域的個人資料,加以不恰當使用,都會變成合法了。

私隱危機

無論如何,公共領域的個人資料如毫無限制地被使用和再使用,而沒有適當的保障措施,難以控制資料的準確性、保留期限及保安措施,這會危害資料當事人的利益。

利用科技從一公開來源收集得來的個人資料,再與另一個公開來源獲得的同一人的資料結合、配對和加工處理,以設立該人的個人資料檔案(profiling),使用於新的用途,甚至超越了資料最初被收集的目的,可謂輕易而舉。

無可否認,把公共領域的個人資料匯集分析及再使用,可為經濟和及社會帶來無限的效益,但這些活動也同時可造成嚴重的私隱危機。

例子一
這種私隱風險的例子,常見於使用個人資料向目標顧客促銷貨品及服務的情況。美國的大型零售商Target利用購物卡的資料分析顧客的購物習慣,從而可靠地預測女性顧客是否懷孕及懷孕多久。讓人尷尬的是,一名未成年少女的父親因收到該公司發出的孕婦產品宣傳郵件而生疑,最終發現女兒原來已懷孕三個月。Target挖空心思地收集顧客的資料進行「數據勘探」,此做法明顯侵犯了私隱。

許多促銷商會根據顧客提供的資料及在公共領域找尋到他的資料,利用嶄新的方式去處理及分析資料,從而提昇促銷效益,這是可以想像的。這問題的關鍵並非在於資料的性質及來源,而是結合、再處理及使用資料帶來的效應。

例子二
另一例子是某些數據營運者,把司法機構的審訊案件表和訟案登記冊的訴訟紀錄,及憲報的破產令通告的破產記錄彙編。

這正是我們最近一宗調查的個案,案中的智能電話應用程式容許用戶以姓名搜尋這些記錄,一次過閱覽經整合的資料。若根據該些資料來決定是否聘用當事人或查核其信貸能力,資料當事人便有可能會無辜受害。

首先,有可能出現同名同姓或近似的姓名,難以肯定有關資料是屬於目標對象。其次,牽涉訴訟的人可以是完全無辜的,但該資料庫不是必然會納入對當事人有利的法庭最後裁決。第三,破產通常在4至8年後可以獲得解除,而 《罪犯自新條例》亦規定若輕微罪行的犯罪者在3年內沒有再被定罪,任何人未經授權不得披露該人士的定罪紀錄。因此,無限期地保留和使用他人的破產及訴訟資料,會造成不當的標籤效應,妨礙當事人重過正常的生活。

例子三
無限制地查閱公司登記冊、土地登記冊、車輛登記冊等資料來源,其刊載的敏感資料例如身份證號碼、完整住址及簽名式樣容易被立心不良的人利用,資料當事人因而蒙受金錢損失、身份被盜用及人身安全(纏擾及監視)的風險。

基於這個原因,最近一個網站營運者經我們調查介入後,合作地停止了一項身份證號碼目錄的運作,該索引把公共領域可搜尋到的人名及身份證號碼編纂排序,方便以姓名或身份證號碼作為索引互相搜查。如此把敏感個人資料整合及處理,顯然是不恰當的。

這網站的運作與搜尋器的運作是不能相提並論的。 搜尋器一般是純粹作中介的角色,只提供資訊內容,而未有把個人資料再加以處理的,並不構成私隱風險。

使用限制原則

私隱條例中的保障資料第3原則限制有關資料的使用,與使用公共領域個人資料是最相關的。原則規定除非取得資料當事人的明確及自願的同意,否則個人資料只可用於收集資料的目的或直接有關的目的。

應用這保障資料原則便是要考慮收集有關資料的原來目的。公共登記冊通常是根據法例而設立的。而理想地,公共登記冊的目的應該在規管該登記冊運作的法例中具體列明。

例子有《證券及期貨條例》第136條,該條訂明證券及期貨事務監察委員會備存持牌人及註冊機構紀錄冊是「為使任何公眾人士能確定他是否正在就任何受規管活動的事宜或就與任何受規管活動有關連的事宜與持牌人或註冊機構有往來,以及為確定該人或該機構(視屬何情況而定)的牌照或註冊的詳情……」。

即使法例未有清晰地指出,公共登記冊的使用目的應該是不難領會的。很多時這些公共領域資料的使用目的及限制,都已在相關的文件中清楚列出。

舉例來說,車輛登記冊是根據《道路交通(車輛登記及領牌)規例》而設立,「旨在就道路交通的規管、車輛與道路(包括私家路)的使用、以及為其他相關的目的而訂定條文」。因此,個人資料的准許使用應與交通及運輸事宜有關。

同樣地,擬結婚通知書中的個人資料,應是容許獲法例授權的人士提出反對。而專業或商業團體設立名冊,應是讓客戶在有需要就相關專業服務的事宜時,聯絡名冊中的專業人士。

政府電話簿亦加入了明確的使用限制,註明電話簿載的政府人員姓名及聯絡資料,旨在方便市民與政府作公務上的通訊,並非供直銷活動之用,有關資料不得轉予他人以獲取商業利益。

在確定公共領域的個人資料原初收集和公開的目的後,有關資料再使用是否與這目的一致或直接有關,必須按個別情況再作評估。

我們需要探究收集資料時的特定情況,及資料當事人在該情況下對其個人資料被再使用的合理期望。這測試的方法是,一個合理的人處於資料當事人的境況,在考慮個人資料的敏感性及收集資料的實際情況後,會否因為其資料被再使用而感意外、不恰當或至反感。上文談及三個私隱風險的例子正好用這測試來說明。

豁免

個人的私隱權並非絕對的權利,而必須與其他權利及公眾利益取得平衡。因此,私隱條例具體訂明一些豁免保障資料第3原則管限的情況,這些豁免同樣適用於公共領域的個人資料。

這些豁免涵蓋的範圍廣泛。特別的是私隱條例第58條,為了防止或偵測罪行、排除或糾正違法或嚴重不當行為或欺詐或舞弊行為而使用個人資料而設的,適用於從事執法及須進行專業盡職審查的資料使用者。此外,第61條則為新聞活動提供豁免,若有合理理由相信出版和廣播相關資料是符合公眾利益,可不受保障資料第3原則管限。值得法律人員留意的是,第60B條的豁免安排適用於法例或法庭命令規定或授權,或法律程序規定所需而使用的個人資料;或為確立、行使或維護在香港的法律權利所需要而使用的個人資料。

行政及技術上的保障措施

資料使用者在行政及科技上可採取適當的措施,防止在公共領域的個人資料被不當使用。政府現時的處理方式可見如下:

運輸署在2003年引入行政措施,提醒申請索取車主資料的人士,登記冊所提供的所有資料應該用於與交通及運輸有關的事宜;若有人在申請書上故意作出虛假聲明,可能已干犯罪行。

土地登記冊亦有程序上的保障措施,防止公眾在網上大量下載資料。

婚姻登記處值得讚許,該處於2005年修訂擬結婚通知書,只展示結婚雙方的部分個人資料,而不再公開披露身份證號碼、完整住址及父母姓名。

關於選民登記冊,儘管相關選民的資料在訂明的情況下會提供予選舉候選人,但公眾不能大量下載資料。另有法例禁止非法使用登記冊內的選民個人資料。根據選舉管理委員會規例,把這些資料用於選舉以外的目的即屬犯罪,可被處第2級罰款及監禁6個月。

正如上述提及,政府電話簿加入明確的使用限制,規定內載的政府人員姓名及聯絡資料並非供直銷活動之用,有關資料不得轉予他人以獲取商業利益。雖然這使用限制條文並不如上述選舉管理委員會規例般具法律效力,我們認為值得所有商業或專業名冊參考。

雖然私隱條例早於18年前實施,資料使用者要達致條例制定時所訂的保障個人資料標準,可謂長路漫漫。

在車輛登記冊方面,儘管運輸署實施了行政措施,濫用車主資料仍是有可能發生的。主要原因是,即使申請索取資料者沒有註明申請目的或隨便列出任何目的,運輸署署長也沒有酌情權拒絕索取資料的申請。有鑑於此,政府於2011年曾建議修訂法例以確保妥善保障車主的個人資料。然而,這方面的進展似乎停滯不前。

2012年8月10日制定的新《公司條例》加入限制公開公司董事的完整身份證號碼及住址予公眾查閱的條文。但令人失望的是,由於部分持份者在後期表示對此有保留,政府遂於2013年3月決定押後考慮落實這項特定條文。

至於土地登記冊,同樣令人失望,政府於2013年2月重申沒有即時計劃修訂相關法例,未有對土地登記冊及註冊文書的查冊施加限制來保障業主的個人資料。看來,要待2004年7月制定的《土地業權條例》落實,由現時記錄土地及物業交易的契約註冊制度,轉為業權註冊制度後,情況才有望突破。至於何時,則是未知之數。

總結

目前情況實在強差人意。加速資料保障的法律改革取決於政府及立法者。我們唯可致力透過公眾教育、執法及與持份者的討論,務求可改善情況。

 

作者 蔣任宏 個人資料私隱專員

Jurisdictions: