(2019年6月23日)截至6月21日下午四時正,香港個人資料私隱公署共接獲32宗有關懷疑有醫護人員未經批准下向警方提交病人資料投訴和查詢,以及68宗有關近日網上有警務人員及其親友的個人資料被「起底」的投訴和查詢。香港個人資料私隱專員(私隱專員)黃繼兒亦注意到有關議題在社會上引起廣泛關注,純粹從私隱的角度,私隱專員作出以下觀察和解釋有關法例:
——言論自由、信息自由流通和個人資料私隱保障在香港長期以來受法律保障(包括《基本法》),具有特殊地位和發揮不可替代的作用。但這些基本人權並非絕對的權利,卻是受法定的制約。其中重要的考慮是其他人的聲譽和私隱,公共秩序和國家安全。
——當網民在社交平台上載他人的個人資料,不論是否從公共領域取得,必須考慮收集和使用的手法是否合法和公平。收集及披露個人資料以達欺凌、具煽動性和恫嚇的不法目的,肯定不合法、不公平及違反個人資料(私隱)條例》(《私隱條例》)和其他有關法律。
——私隱專員再三強調,網民必須尊重他人個人資料私隱;網上社交平台及討論區的營運商亦須履行其法定及企業道德責任,停止提供其平台予任何人作出不合法和損害個人資料私隱的行為。類似的網絡欺凌行為亦可能涉及其他民事和刑事的法律責任。
——私隱專員已主動聯絡若干相關的網上社交平台及討論區的營運商,並同時要求他們聯絡有關網民,要求他們立即移除及停止上載該等內容/帖文,並已聯同其他執法機構(包括警方)作出跟進。
——私隱專員已收到醫院管理局就急症室內電腦系統懷疑資料外洩事故通報,亦已聯絡該局並就事件展開循規審查,以取得更多與事件有關的事實及詳細資料。
——根據《私隱條例》下的資料保安原則的規定,機構需採取切實可行的資料保安措施,確保個人資料不會未獲准許或意外地被查閱、處理、刪除、喪失或使用。同時亦須遵從《私隱條例》下的資料使用
1/3原則規定,個人資料只限用於收集時述明的目的或直接相關的目的,否則須得到病人自願和明確的同意。
——私隱專員指出:《私隱條例》的目的,是要保障個人資料不被濫用或誤用,因此《私隱條例》設定保障資料的原則,確保個人資料從收集、儲存、保留、使用、保安、透明度至查閱及改正均受監管。使用病人的個人資料只限用於收集時所說明的目的,用作其他目的必須獲病人的同意(資料使用原則第3原則)。
——《私隱條例》亦有訂明在某些特殊情況下,違規者可引用豁免條款。其中一項是為保障資料當事人或其他人的健康,於危急時拯救生命,防止病人或他人遭受嚴重傷害而需披露有關個人資料。例如把病人的身份及所在地告知第三者,以協助第三者可即時提供救援,從而避免對該病人或其他人的身份或精神健康造成嚴重傷害(《私隱條例》第59條)。
——另一種豁免的情況是披露的個人資料用作偵測或防止罪行;拘捕、檢控或拘留犯罪者。不過醫院是沒有責任去引用此項豁免而提供資料。引用此項豁免,醫院需要審視情況是否合乎規定,自行決定是否引用這項豁免。醫院應先要求索取個人資料的執法機構提供足夠資訊,包括索取資料的目的、所調查的案件的性質及所索取的資料如何與調查有關、為何若不提供該資料將會阻礙調查等。此外,此項豁免並無賦予執法機關任意收集資料的權力,在提出要求收集資料時,亦有責任明確告知醫院是否必須提供資料。否則執法機構可能因誤導醫院或濫權而違反《私隱條例》(《私隱條例》第58條)。若雙方有爭議,要求的一方可向法院申請搜查手令。
——這項豁免條款的邏輯依據不難理解。假如執法機構正在調查某宗刑事案件並持有懷疑涉案人士的有關資料,向有關機構或人士索取個人資料,並能夠證明有合理理由相信不披露資料可能損害偵測罪行等目的,有關機構或人士不能以私隱作為「擋箭牌」,拒絕提供資料。
——任何機構都必須有既定的政策及程序,以規範收集、處理、使用個人資料和保障個人資料的安全,以及處理有關豁免的事項。任何機構若漫無目的或過份地收集資料或在沒有法律基礎下要求或誤導其他機構提供資料,則有可能違反《私隱條例》的規定。