1. 立法會醫學界議員陳沛然醫生於2019年6月17日撰文,指控醫管局在「急症室資訊系統」的「災難單元」中「開後門」,容許警察在一個警方專用的版面, 無須登入和密碼,即可查閱「個別病人,在立法會外大型集會的受傷到醫院求診的詳細資料,包括身份證號碼、姓名、性別、年齡、電話、入院出院時間及入住病房等。」
2. 醫管局其後嘗試反駁,稱沒有將任何病人資料交予警方,並稱警方無權登入相關系統。但陳醫生再於2019年6月19日引述立法會文件及醫管局公開資料,指出醫管局與警方電腦系統相連的「重大事件調查及災難支援系統」,目的是「供 ... 前線調查人員使用」,「以支援刑事案件調查工作」。
病歷資料的保密,受香港人權法保障
3. 《香港人權法案》第14條要求香港法律保護「任何人之私生活... 不得無理或非法侵擾」。
4. 在《Z訴芬蘭》一案中,[1]歐洲人權法院指出法律有否充分保護個人資料 - 尤其是病歷資料 - 對一個人能否真正享有其私生活權至關重要。因此,「個人健康資料保密」是尊重人權的法律制度中必不可少的原則。這不單是要尊重病人的私隱,更是為了保持公眾對醫療專業和整體衛生服務的信心。
缺乏這種保護,需要治療的人可能會完全不敢尋求治療,或至少在接受治療時,不敢洩露真正的個人資料,從而影響治療的成效,並危及到他們自身的健康。
因此,法律必須提供適當的保障措施,以防止個人健康資料被隨意披露。
5. 《Z》案本身,正是執法部門要求醫護人員在未經病人同意下披露病歷的例子。雖然歐洲人權法院在該案中接受偵測罪案牽涉重大公眾利益,並裁定相關披露並無侵犯私隱權,但法院同時強調,這是因為芬蘭的法律對執法人員要求披露病歷的權力施加了重要的限制,並提供了「有效及足夠防止濫權的保障(effective and adequate safeguards against abuse)」。[2]
此等限制及保障包括:
- 相關權力只可在關乎嚴重罪行(至少6年或以上監禁)的調查時行使;
- 如果醫護人員不同意披露病歷,執法人員必須向法庭申請授權。
6. 歐洲人權法院在另一宗牽涉醫護人員向社會保障部門披露病歷的案件中,同樣認為當局並無違反私隱權,但重申法律必須提供「有效及足夠防止濫權的保障」。[3]該案中被歐洲人權法院認可的保障,包括有關當局須向醫護人員作出正式(書面)要求,及有關當局要求索取的資料必須對執法目的具重要性 。[4]
7. 按英國法院對此原則的解讀,被披露的病歷資料只能是(為了相關目的)最少或必須的資料。[5]
《個人資料(私隱)條例》對病歷資料的保障
8. 就第1段所述的病歷資料而言,香港法例第486章 《個人資料(私隱)條例》 (下稱《條例》)附表1中的《保障資料原則》第3條規定,除非得到病人自願和明確的同意,個人資料只限使用於收集時述明的目的或直接相關的目的,即醫療目的。「使用」包括披露該資料予第三方。[6] 向警方或檢控部門披露此等個人資料,明顯不能被視為當事人於資料被收集時所同意的「使用」。[7]
9. 另一方面,《條例》第58(2)條規定,如上述原則的適用「相當可能會損害」罪行的防止或偵測,或犯罪者的拘捕、檢控或拘留,則病歷資料用於此等目的「獲豁免而不受第3保障資料原則的條文所管限」。在為任何人違反《保障資料原則》第3條而針對他進行的法律程序中,只要該人證明他當時有合理理由相信不如此使用資料,便相當可能會損害任何偵測罪行等目的,即為免責辯護。
10. 雖然時任行政上訴委員會主席梁紹中(即前高等法院首席法官)於《趙海寶訴個人資料私隱專員》[8]一案曾強調,「決定任何人可獲第58條豁免時,應審慎考慮個案的特別情況,並顧及到條例目的,是保障個人私隱,因此,不應讓資料使用者隨便獲得豁免法例訂立的管限」,但《條例》第58條本身並無就引用該項豁免時必須遵循的程序作任何詳細規定。
11. 事實上,在其過往判例中,行政上訴委員會一旦信納有關個人資料的使用是為了偵測罪行或拘捕犯罪者等目的,甚至不會考慮資料若不如此使用會否「相當可能」損害有關目的,即會裁定第58條適用,准許資料使用者未經當事人自願和明確的同意下,將個人資料轉交執法部門。資料使用者有否詳細詢問警方索取個人資料的原因,[9]或警方沒有正式以書面方式作出索取資料的要求,本身似乎並不會令索取資料的行為變成非法及不公平。[10]
12. 然而,鑒於第58(2)條要求任何引用此項豁免的人,必須證明他當時有合理理由相信不將個人資料披露予執法部門,便相當可能會損害偵測罪行或拘捕犯罪者等目的,嘗試引用豁免的人似乎有責任盡一定努力,確保自己如此相信的基礎,獲合理的理由支持。就此,高等法院原訟法庭曾不止一次確認,第58(2)條中「相當可能會損害」的準則,是應用該條所訂豁免的先決條件。[11]
13. 正如時任高等法院原訟法庭暫委法官潘兆初於Cinepoly Records Co Ltd v Hong Kong Broadband Network Ltd案裁定,任何嘗試引用第58條下的豁免的人,不可空口講白話(bare allegation),而是必須提出強力證據 (cogent evidence),證明已達成應用豁免的各項先決條件。[12] 披露個人資料與否及最終披露程度為何,是否真的為達成相關執法目的所「必要(necessary)」,似乎自然成為其中一個重要考慮因素。[13]
14.由此看來,並考慮到上文第3-7段所述人權法有關「有效及足夠防止濫權的保障」的規定,個人資料私隱專員黃繼兒於2019年6月17日回應事件時描述的程序,理應被視為《條例》的最低要求,「醫院需要審視情況是否合乎規定,自行決定是否引用這項豁免。醫院應先要求索取個人資料的執法機構提供足夠資訊,包括索取資料的目的、所調查的案件的性質及所索取的資料如何與調查有關、為何若不提供該資料將會阻礙調查等。」
15.無可否認,警務人員在第232章 《警隊條例》 第10(b)條下有「偵查刑事罪及犯法行為」的職責,並獲賦予執行此職責的權力,[14]包括蒐證、查問證人的權力。然而,正如高等法院原訟法庭法官歐陽桂如最近於《Y訴香港律師會》一案裁定,當某條例對個人資料提供保障,另一對個人資料保障較低的條例不能被用以減弱前者的保障。[15]
16. 歐陽法官尤其指出,訂明執法責任的總綱性條文,不可能「包羅萬有(overarching)」至授權違反成文法對個人資料的明文保障。[16] 警方於蒐證時,毫無疑問受《條例》約束。[17]醫護人員有權亦有責遵守《條例》規定,保障病人私隱權;拒絕警方無理非法的要求,更是應有之義。
結論
17. 應用上述原則,醫管局打開系統後門,容許警方在沒有病人同意的情況下
i. 隨時、無須正式申請、或經過醫護人員的審視;
ii. 無論被懷疑干犯的罪行嚴重程度為何;
ii. 查閱某一整個特定類別所有急症室病人的病歷資料;
似乎已違反《條例》,構成對私隱權不合比例的侵犯。
18. 不過很可惜地,警察違反私隱權蒐證所得的證據,一般來說法庭都會予以接納。因為在普通法下,憲法對私隱權的保障,與證據可否接納的問題無關。在《香港特別行政區訴Muhammad Riaz Khan》一案中,[18]終審法院一致裁定,「本港的法律並沒絕對禁止接納在侵犯被告人的憲法權利的情況下獲得的證據,法庭可酌情決定。」[19]
19. 話雖如此,儘管刑事司法系統難以為私隱權被侵犯的市民伸張公義,但理論上受害者仍有權向個人資料私隱專員公署投訴,甚至就醫管局整套政策提出司法覆核。畢竟在這個時代,用盡所有可行途徑追究濫權,也不能說本身完全沒有現實意義。
[1] (1997) 25 EHRR 371 第95段。
[2] 《Z》案 第103、107段。
[3] 《MS訴瑞典》(1997) 28 EHRR 313。
[4] 《MS》案第12、43段。
[5] 參見A Health Authority v X (unreported, EWHC (Fam), 10 May 2001) 第53段;In re C [2015] EWFC 79 第30段;In re G [2018] EWHC 1301 (Fam), [2018] 4 WLR 120 第35、37段。
[6] 《條例》第2(1)條。
[7] 參見《Shi Tao訴個人資料私隱專員》 (行政上訴委員會,行政上訴案件2007年第16號,2007年11月 26日) 第96段 (行政上訴委員會副主席資深大律師翟紹唐
語)('… disclosure of personal information to public prosecution authorities could not be considered to be a "use" of the information intended by the parties when the information was collected.')。
[8] 行政上訴委員會,行政上訴案件2004年第14號,2004年11月30日)第22段。
[9] 參見《袁碧真訴個人資料私隱專員》(行政上訴委員會,行政上訴案件2006年第11號,2007年3月27日)第16段 (行政上訴委員會副主席資深大律師周家明語)。
[10] 參見《Khroustalev Igor訴個人資料私隱專員》(行政上訴委員會,行政上訴案件2005年第62號,2007年3月6日)17-18段(行政上訴委員會主席梁紹中語)。
[11] 參見Cinepoly Records Co Ltd v Hong Kong Broadband Network Ltd [2006] 1 HKLRD 255 (CFI) 第37(2)、42段(高等法院原訟法庭暫委法官潘兆初語);Chan Yim Wah Wallace v New World First Ferry Services Ltd [2015] 3 HKC 382 (CFI) 第88段(高等法院原訟法庭法官包華禮語)。
[12] Cinepoly Records Co Ltd v Hong Kong Broadband Network Ltd [2006] 1 HKLRD 255 (CFI) 第37-39, 42段。
[13] Oriental Press Group Ltd v Inmediahk.net Ltd [2012] 2 HKLRD 1004 (CFI) 第84段(高等法院原訟法庭暫委法官吳嘉輝語)。
[14] 參見《女王訴陶君行》 [1995] 1 HKCLR 251 (CA) 第255-256頁。
[15] [2017] 2 HKLRD 950 (CFI) 第50段。
[16] 《Y》案 [2017] 2 HKLRD 950 (CFI) 第50段 (‘... I agree with Mr Dykes SC that if an exception does not exist under ROO, then PDPO does not provide some other channel to publish that spent conviction. The regulatory duties of LS could not be so “overarching” as to violate ROO.’)。
[17] 如參見《警察通例》第76-04(2)條。
[18] (2012) 15 HKCFAR 232第15段。
[19] 順帶一提,終審法院於《Ho Man Kong訴Superintendent of Lai Chi Kok Reception Centre》 (2014) 17 HKCFAR 179 拒絕推翻《Khan》案,並將此原則延伸至引渡程序當中。簡單而言,外地政府在外地司法管轄區非法獲得的證據,可在香港交付拘押程序中獲接納為證據,但因香港法庭在交付拘押程序中的角色,只是判斷表面證據是否成立,所以法庭在正式審判中酌情豁除證據以確保公平審訊的權力,無法在交付拘押程序中行使。換言之,被某國要求引渡的疑犯,無權在香港法庭挑戰該國蒐證的手法違反其人權,即使相關證據 - 如《Ho Man Kong》案的情況一般 - 對表證能否成立具決定性影響。