第78-83集 - 私隱專題(第二輯)
Loewenstein嗱,咪話我姣婆守唔到寡,我補飛講個人資料咋。
請先參考之前寫過有關個人資料:
首先,你嘅個人資料係受香港法例第486章《個人資料(私隱)條例》保障。為免大家又話TLDR,整理一下個撮要。
———————
A. 一般情況
(DPP 係指 保障資料原則)
1. s.18(1)指出,只有資料當事人或佢嘅授權代表,可以向資料使用者查詢有冇佢嘅資料;如果有,就可以要份副本。
DPP 1(2)中指出,收集個人資料過程必須係「合法」同「公平」。
DPP 1(3)中指出,收集個人資料之前,或收集嘅時候,要明確或暗喻嘅方式告知資料當事人。
DPP 1(1)中指出,收集個人資料係同資料使用者嘅合法活動有關。
DPP 3(1)中指出,若個人資料使用於新目的,要資料當事人同意。
DPP 3(4)中指出,新目的係指,同當初收集資料嘅時候所告知嘅收集用途或直接同用途相關以外嘅目的。
3. s.38指出,個人資料私隱專員可就投訴展開調查。s.50亦指出,如完成調查後認為資料使用者違反條例嘅規定,係可以發出書面執行通知,籲以改正以防止違反再次發生。
s.64A(2)(a)指出,違反 DPP 並不屬於犯罪;而違反s.64A(2)以外嘅情況,根據s.64A(1),一經定罪係可以處第3級罰款,即係$10,000。
若違反s.50嘅執行通知,s.50A指出,首次定罪係最高罰$50,000同坐2年;再次定罪就最高罰$100,000同坐2年。
4. 不過,如果因為「披露未經資料使用者同意而取得的個人資料」而有以下 3個意圖或結果,就有機會犯上s.64嘅罪行,刑罰最高係罰款$1,000,000同監禁5年。
s.64(1)(a)係指,披露意圖獲取金錢得益或其他財產得益;或
s.64(1)(b)係指,披露意圖導致資料當事人蒙受金錢損失或其他財產損失;或
s.64(2)(b)係指,披露(無論有冇意圖)導致該當事人蒙受 心理傷害。
Q. s.64當中,要構成「披露未經資料使用者同意而取得的個人資料」嘅罪行其中一個可行條件係造成「心理傷害」係點解?
A. 首先,大家要明白「披露未經資料使用者同意而取得的個人資料」並非必定犯罪。
佢需要有調查、出執行通知,你唔改先可以告你; 除非 犯案嘅結果或意圖符合s.64(1)或s.64(2)嘅三個條件入面其中一個。
以下答案引用自Edward Wong嘅Facebook Post:
...第64條的相關條文,由2012年6月27日通過的《2011年個人資料(私隱)(修訂)條例草案》加入《個人資料(私隱)條例》。
網民「起失控警員底」,幾乎不可能有任何與金錢利益或金錢損失有關的意圖。至於何謂「心理傷害」,大律師公會在2012年曾兩次透過立法會《2011年個人資料(私隱)(修訂)條例草案》委員會就此問題向政府當局表達關注。
以下為重點
大律師公會於政府其後公布擬提出的委員會審議階段修正案後,再次向法案委員會提交意見,重申「以“心理傷害”這個空泛的詞語作為可致重罰的罪行的元素並不恰當。... 由於條文並無規定要就引致他人蒙受“心理傷害”的意圖舉證,故更應當妥為界定該詞語的涵義。」 政府亦再次保證,「 法庭較可能會憑專家證據來證明資料披露是否導致心理傷害 。」
———————
B. 特殊情況
即係容許豁免一般情況嘅程序;法律就係咁,general rule簡單易明,但係一大堆exception讀到你暈。
1. s.58(1)當中,指出喺「罪行豁免」下,有7種不同情況可以豁免而不受DPP6同s.18(1)(b)嘅條文所限,其中我哋會擔心嘅情況有2個:
甲. 罪行的防止或偵測;
乙. 犯罪者的拘捕、檢控或拘留。
豁免嘅結果係,唔需要身為資料當事人或佢嘅授權代表,就可以向資料使用者攞copy,但要合乎以下s.58(1)其中一項條件:
s.58(1)(i)係指,若DPP 6同s.18(1)(b) 繼續應用會「相當可能」損害嗰7種不同情況。
s.58(1)(ii)係指,若DPP 6同s.18(1)(b) 繼續應用會辨識到資料來源嘅人嘅身分。
2. s.58(2)亦指出,若個人資料使用嘅目的,係s.58(1)所指嘅7個不同情況;即使嗰7個都唔係原本嘅使用目的,只要會「相當可能」損害嗰7種不同情況,就能夠豁免DPP 3 嘅條文所限;豁免嘅結果係,若個人資料要使用於s.58(1)嘅7種不同情況
Q. s.58當中,「罪行豁免」提到嘅「相當可能損害」係點解?
A. 以下答案引用自Edward Wong喺獨立媒體所撰有關Cap 486嘅文章。
9. ...在為任何人違反《保障資料原則》第3條而針對他進行的法律程序中,只要該人證明他當時有合理理由相信不如此使用資料,便相當可能會損害任何偵測罪行等目的,即為免責辯護。
11. 事實上,在其過往判例中,行政上訴委員會一旦信納有關個人資料的使用是為了偵測罪行或拘捕犯罪者等目的,甚至不會考慮資料若不如此使用會否「相當可能」損害有關目的,即會裁定第58條適用,准許資料使用者未經當事人自願和明確的同意下,將個人資料轉交執法部門。...
以下第13段為重點
13. 正如時任高等法院原訟法庭暫委法官潘兆初於Cinepoly Records Co Ltd v Hong Kong Broadband Network Ltd案裁定,任何嘗試引用第58條下的豁免的人,不可空口講白話(bare allegation),而是必須提出強力證據 (cogent evidence),證明已達成應用豁免的各項先決條件。披露個人資料與否及最終披露程度為何,是否真的為達成相關執法目的所「必要(necessary)」,似乎自然成為其中一個重要考慮因素。
14. ...個人資料私隱專員黃繼兒於2019年6月17日回應事件時描述的程序,理應被視為《條例》的最低要求,「醫院需要審視情況是否合乎規定,自行決定是否引用這項豁免。醫院應先要求索取個人資料的執法機構提供足夠資訊,包括索取資料的目的、所調查的案件的性質及所索取的資料如何與調查有關、為何若不提供該資料將會阻礙調查等。
3. s.52指出,若其他人嘅個人資料係由另外嘅個人持有,而使用目的係同「私人事務」或「消閒」有關,就會受豁免而不受 DPP 管限。
Q. s.52當中,「私人」、「消閒」目的係點解?
A. 以下答案引用自連登一個post
...一般黎講,如果因為同資料當事人相熟、係親朋戚友關係,或者係資料當事人自己將資料放上社交網站而被朋友睇到,跟住被朋友出賣將資料公開/披露出去,係好大機會獲《私隱條例》第52條豁免而不受DPP規管。
亦因為咁,好多時男女朋友分手後喺社交網站/論壇公開另一半嘅資料,又或者有親朋戚友未經當事人同意拎左資料做諮詢人/擔保人,《私隱條例》係管唔到。
上面講嘅係同你有一定關係嘅人,咁如果係關係疏遠,甚至係陌生人呢?
a) 如果有人用唔合法公平嘅方法(例如偷呃拐騙、刻意誤導嘅方法)收集其他人嘅個人資料,可能違反DPP1。
b) 如果資料使用者當初收集個人資料嗰陣已經講明目的係擺上網分享,而後尾喺網上披露吻合當初個收集目的,就未必違反DPP3。
c) 如果d資料係未得資料當事人嘅同意,用左喺一d唔係收集資料時講明或者直接相關嘅目的(例如收集資料果陣就話d資料係自己珍藏,但結果用左黎派街坊),就可能違反DPP3。
但係,違返DPP 並非犯罪,佢需要有調查、出執行通知,你唔改先可以告你。
Q. 咁私隱專員公署有咩可以做?
A. 以下答案引用自連登一個post
私隱專員公署出左份《網絡欺凌你要知》嘅單張,裡面有講:「 香港並未有規管網絡欺凌的法例 ,加上網絡欺凌活動涉及的範疇廣闊,當中包括誹謗、刑事恐嚇及侵犯知識產權等等...」
不過,《私隱條例》第37條規定:
1. 投訴人提出投訴時必須具體指明被投訴者的身份,即提供被投訴者的姓名及聯絡資料。(只提供追尋被投訴者身份的途徑,例如網站或電話號碼,而沒有識別其身份的其他資料,一般來說是不足夠的);及
2. 須提供足夠資料(在某些個案中,包括證人),以支持其指稱。純粹推測是不足以支持投訴的,例如只是持有個人資料並不表示個人資料是以不公平的方法收集。
即係話,你要投訴就要指明係邊個做,仲要提供被投訴者嘅姓名同聯絡方法。唔同警方查案,私隱專員公署下嘅投訴程序,舉證責任係投訴人身上。講唔出係邊個做,又或者唔夠證據就返屋企啦,所以年中有唔少人有冤無路訴!
其實每年都有好多好多人被人網絡欺凌,被人係網上面公開資料。有人懷疑係反左面嘅前度做,有人話係財務公司做,有人就被不知名嘅網民搞。但總之指出唔到係邊個做,冇證據就跟進唔到。
← 個人聯絡 (@Loewentstein)
———————
醫療支援 @sharing_ec 或 杏林覺醒:46100186
被捕支援 @Abccbbc ;WhatsApp:98190979 (星火同盟)