香港個人資料私隱專員(私隱專員)黃繼兒就有關懷疑醫院管理局醫院急症室內電腦系統在未經登入的情況下可取覽部分病人的詳細資料 ,有以下的觀察和回應:
私隱專員已就事件展開循規審查,故現階段恕未能提供更多資料。
私隱專員指出:《個人資料(私隱)條例》(《私隱條例》)的目的,是要保障個人資料不被濫用或誤用,因此《私隱條例》設定保障資料的原則,確保個人資料從收集、儲存、保留、 使用、保安、透明度至查閱及改正均受監管。
《私隱條例》亦有訂明在某些情況下,違規者可引用豁免條款。其中一項是為保障資料當事人的健康,於危急時拯救生命。例如當資料當事人因車禍昏迷被送到醫院診治,為了拯救他的生命,醫院可無須得到傷者的同意,使用他的個人資料(如電話號碼)或向他本人的家庭醫生披露他的健康資料(《私隱條例》第59條)。若使用有關個人資料對資料當事人造成損害,則此豁免並不適用。
另一種豁免的情況是披露的個人資料用作偵測罪行。不過引用此項豁免,醫院需要審視情況是否合乎規定,自行決定是否引用這項豁免。醫院應先要求索取個人資料的執法機構提供足夠資訊,包括索取資料的目的、所調查的案件的性質及所索取的資料如何與調查有關、為何若不提供該資料將會阻礙調查等。此外,此項豁免並無賦予執法機關收集資料的權力,在提出要求收集資料時,亦有責任明確告知醫院是否必須提供資料。否則執法機構可能因誤導醫院而違反《私隱條例》。(《私隱條例》第58條)
《私隱條例》亦規定資料收集者(如醫院及執法機構)必須採取切實可行的資料保安措施,確保個人資料不會未獲准許或意外地被查閱、處理、刪除、喪失或使用。(資料保安原則)
此外,根據資料使用原則,病人的個人資料只限用於收集時所述明的目的(如用作核實病人身份及診症之用),除非有關使用(包括轉移和披露)獲病人自願和明確的同意否則亦屬違反資料使用原則。(資料使用原則)
任何機構都必須有既定的政策及程序,以規範收集、處理、使用個人資料和保障個人資料的安全,以及處理有關豁免的事項。任何機構若漫無目的或過份地收集資料或在沒有法律基礎下要求或誤導其他機構提供資料,則有可能違反《私隱條例》的規定。
若要求(例如執法機構)及提供(例如醫院)資料雙方有爭論,要求的一方可向法院申請搜查手令。