香港個人資料私隱專員公署:社交媒體與個人資料私隱保障

陳美儀， 黎智敏

整理： 袁 燁3

香港個人資料私隱專員公署:社交媒體與個人資料私隱保障

陳美儀1， 黎智敏2

整理： 袁 燁3

在社交媒體時代，保障數據安全越來越凸顯其重要性。作為獨立的法定監管機構，香港個人資料私隱專員公署從建立之日起，就致力于保障香港市民的隱私數據安全。1996年，公署出臺的個人資料隱私保護條例正式生效，成為亞洲第一份完整的個人資料保障法。條例確定了六項數據保障原則，并規定了公署的監管范圍。本文介紹了公署的工作內容和程序，并借助案例闡述了社交媒體對公署日常業務的影響，包括對監管合規、投訴、查詢以及公共關系和教育等的作用。

香港私隱專員公署；個人數據保障；個人隱私保障法；社交媒體

DOI 10.16602/j.gmj.20170005

香港個人資料私隱專員公署于1996 年8月1日成立，作為一個獨立的法定規管機構開展工作。公署出臺了個人資料隱私保護條例，旨在保護個人資料方面的隱私數據和隱私信息。條例于1996 年 12 月 20 日生效，規定了各機構的資料使用者在對個人資料的搜集、使用、保留、保障和查閱方面的相關政策，涵蓋公營和私營機構。比如，如何在獲取數據之后處理數據，以及如何處理公共信息。出臺這一條例的目的是強化執法監察及監管，同時推廣公眾教育，提高公眾的隱私意識，保證個人隱私的安全。實際上，香港是亞洲第一個擁有完整的個人資料保障法的地區。此后，很多亞洲國家和地區都模仿香港的做法出臺了自己的個人保障法。

一、 六項數據保障原則

我們的任務是保障私人信息，主要指包含個人資料的個人信息。我們規定，個人資料的確認需要符合以下三項基本條件：該資料直接或間接與當事人相關；從該資料直接或間接確定相關當事人的身份是切實可行的；資料的存在形式是可查閱可處理的。個人資料在日常生活中的例子包括姓名、地址、性別、年齡和個人電話號碼等。

所有使用個人資料的人士(資料使用者)必須遵守條例中設定的六項保障資料的核心原則。不管是政府組織還是個人，都需要遵循這六項原則。它們涵蓋了個人資料由收集、保存、使用直到銷毀的整個生命周期，包括：

1. 收集資料的目的和方式。收集個人資料時，當事人應該了解該資料的使用目的和資料轉移對象的類別。收集的個人資料應該是必要的，不能過度收集。

2. 保證個人資料的精確和適當保留。資料使用者應當確保個人資料是正確無誤的，達到收集資料的必要目的后就不再保留。

3. 使用。資料使用的目的應當與資料收集的目的直接或間接相關。除非當事人明確同意，資料不能另作他用。

4. 安全。資料使用者應當采取安全措施，保障個人資料的安全，防止未經授權的訪問、處理、銷毀、丟失或使用。

5. 透明度。資料使用者應當公開有關個人資料的政策和慣例做法，包括其所管理的個人資料類別、資料的使用方式等。

6. 數據訪問和修正。當事人有權要求訪問并修正其個人數據。

如果資料使用者違反了這六項保障原則中的任意一項，隱私署有權發布強制執行通知。這六項保障原則適用于所有香港居民，但也有例外情況。例如，為家居或消閑目的而持有的個人資料可以獲豁免，不受六項保障資料原則監管。另外，如果資料與國家安防和國際關系、防止或偵查罪行、評估或征收稅項、新聞活動、健康、法律程序等有關，相關資料也可獲豁免。

二、 公署的工作程序

香港有732萬人，其中有575萬人是活躍的互聯網用戶，占總人口的79%。在這大約600萬的互聯網用戶中，又有480萬是活躍的社交媒體用戶。在這些移動服務使用者中，平均每人有1.78個移動裝置。如一個房子里有五個人，有五臺筆記本電腦，兩個平板電腦和6部手機。一個人既有平板電腦又有手機又有筆記本電腦，這種情況在香港是非常普遍的。香港常用的社交媒體有臉書(Facebook)和微信，內地則為微信和新浪微博。香港使用英語的程度也很高，社交媒體在香港被普遍使用。

社交媒體強化了我們和其他人的聯系，讓我們與客戶、朋友和世界上其他國家的人有了更緊密的關系。由于社交媒體可以實現即時通信，因此透明度有所增加，信息流通的速度也得以大幅度提升。社交媒體對于市場營銷的影響也是巨大的，對于各級領導團隊來說，市場營銷就是用媒體作為推銷的工具。另外，社交媒體也會造成個人信息泄露、網絡欺詐、網絡欺凌，以及身份被盜用。我們保護所每年收到的241個投訴中，大部分都與社交媒體有關，其中關于個人信息泄露和網絡欺凌的投訴占了大多數。

收到投訴后，我們首先會對投訴進行篩選，看看它們是否符合保護條例的適用范圍。如果在受理范圍之內，我們就會進行調解和調停。通常來說，大部分爭端是通過調停解決的。例如，通過顧問告知數據使用者，哪些做法是錯誤或違法的。調停成功的話，就能達到雙贏的結果。如果調停不起作用，那么這一案件可能涉及重大社會利益，我們就會開展正式調查。如果調查結果顯示，使用者違反了相關條例，我們會進行懲罰。無違反條例，我們就會發出警告，并提供一些指導，防止未來再次出現類似情況。如果該使用者不執行法律指令，我們就會邀請警察或者其他執法人員進行強制執法。

處理投訴的時候，我們有哪些可以行使的權利呢？首先，我們有專員進行調查。也即是說，我們有權約談數據使用者，也有權進入機構系統調查該數據使用者的數據使用情況。一旦發現有違反法令的情況存在，專員會向違規的資料使用者送達執行通知。如果我們認為該案件與公共利益有關，就會有專員撰寫報告，發表調查結果、提出建議及作出專員認為合適的評論。

三、 投訴的適用范圍

由個人持有并只為家居或消閑目的而持有的個人資料，可以豁免不受六項保障資料原則監管。例如，有人持有親友的住址信息，目的是向這些人寄圣誕卡，這就是出于家庭目的而使用數據，因此不適用于保護條例。但在另一種情況中，影迷會持有會員聯絡資源，目的是舉辦活動支持偶像，這就不屬于家庭或消閑的使用目的，因而屬于保護條例的監管范圍。

這里有一個具有普遍性的案例供大家參考：由于女友出軌，分手后男生想報復前女友，就把女孩的個人信息公布在網上，如她的私密照片、家庭背景等。由于前男友是以私人身份獲得女孩的個人身份信息，這是出于私人目的獲取的數據，不在保護條例的適用范圍內。所以當女孩找到我們尋求幫助時，我們只能對她說，對不起，我們無法幫你。

投訴必須滿足特定條件我們才能受理，如投訴必須針對具體的數據使用者。數據使用者是指控制個人資料的搜集、持有、處理或使用的人。比如，有些人對搜索引擎谷歌或雅虎公司提出控告。由于搜索引擎不是出于對個人身份的關心，而是自動在網上搜索到了相關信息，因此我們不認為它是一個隱私資料的使用者，在這種情況下我們是不受理案件的。根據法律，投訴人必須能夠指明被投訴者的具體身份，如其真實姓名、聯絡方式，以便我們聯系這個人。通過網站或電子郵件地址登錄的名字通常是一些假名，我們不可能通過這些名字追蹤到人。對于那些誣蔑別人或者發動人身攻擊的組織，他們可能會有人肉搜索或在網上發照片的行為。在這種情況下，如果受害者來我們這里報案，他就必須能夠指出是誰攻擊了他。必須公布被投訴者的身份資料，我們才能受理案件。

此外，保護條例沒有域外法律效力，只適用于香港。只有當數據是在香港的轄區內被使用，而且案件是在香港發生的，我們才能受理案件。例如，一個人在臺灣商店購物，之后他在臉書上發現這家商店把自己的個人信息公布到了網上，包括他的姓名、所購物品等。當他向公署投訴時，我們也只能告訴他，對不起，由于你的個人信息是在香港以外的地區被搜集，而我們對香港境外的地方沒有管轄權，所以無法受理案件。這種時候，我們總是面臨一個兩難的境地，因為在香港之外我們沒有影響力。

另一個案例是，某女警員遭到一位網民的人肉搜索，該網民在論壇上面發布了一些威脅該警員的言論。由于事關這位警察的人身安全，比披露個人資料的性質更加嚴重，公署就采取了一些行動。我們聯系了論壇討論區的負責人以及互聯網的服務供應商，成功追查到涉案網民的身份，立即要求其停止行動，并書面承諾日后不再做出類似行為。這種情況比前男友公布隱私信息要嚴重得多，因此我們可以介入。

四、 公司與社交媒體的聯系

在社交媒體被廣泛使用的今天，利用社交媒體開展市場營銷是非常普遍的事情。具體包括：直接利用社交媒體上的聯絡資源進行推銷；通過用戶推薦提升聲譽；對顧客在社交媒體上的行為和潛在行為進行分析，以此掌握顧客的背景；利用社交媒體進行推廣，如抽獎、攝影分享以及投票。

香港使用臉書和谷歌的人很多。當你在臉書或谷歌上創建賬戶時，需要輸入自己的個人信息，包括名字、電子郵件和電話號碼等。臉書和谷歌公司希望直接利用這些信息進行市場營銷，但是它們的行為必須符合相關的法律、法規，而且必須在獲得信息擁有者的同意后才可以這樣做。除了市場營銷，公司利用社交媒體也意在拉近與顧客的關系，如顧客利用社交媒體查詢產品服務、售后服務等。鑒于社交媒體本身的特性，公司應該提醒客戶不要在網絡平臺上公布自己的敏感信息。公司也應當提供法律、法規來保障顧客的數據安全。

除了在市場營銷和保護客戶關系方面的應用，很多社交媒體也被應用到了人力資源管理上，比如建立雇主的形象品牌，或在招聘過程中搜集資料以及篩選申請人。社交媒體還可以用來監督職員的態度。例如很多公司老板通過社交媒體來監督職位申請人的活動，將申請人的社交媒體活動數據作為篩選條件之一，比如看看該申請人公布了哪些信息，他的朋友圈是什么樣的，他的家人是什么樣的。公司在選擇職位申請人的時候，會通過考察社交媒體上的活動信息作為衡量申請人是否能積極工作的標準。公司還可以通過社交媒體監督雇員對于機構的態度，例如是否在社交媒體上公布公司機密。

五、 隱私保障的工作原則

總體而言，保障個人隱私資料有四大原則：

第一是適度(Appropriateness)，搜集的個人資料類別和用途是否相關及相稱。

第二是透明度(Transparency)，組織機構是否提供了個人資料的搜集聲明，是否提供數據保護政策的聲明。

第三是尊重個人權利(Respect of Individual Rights)，用戶對自己的選擇權利是否非常清楚，用戶是否有拒絕參與的選擇。

第四是保護(Protection)，組織機構是否能采取合理且切實可行的步驟來保護個人資料。在監察以及監管合規上，專員的職能包括根據相關條例進行監察和監管。合規部的職能包括接受資料外泄事故通報，及適當跟進資料外泄事故；對資料使用者進行循規審查及調查，看看他們是否有違規的情況，比如是否曾造成資料外泄。

與新加坡、澳大利亞和歐盟不同，香港的資料外泄事故不受法律強制監管。相關組織機構可以自行決定是否配合政府調查，是否給政府提供相關數據。2016年，我們總共有104起資料外泄事故，影響人數達85萬多。常見的資料外泄事故類型包括遺失文件或便攜式裝置(如U盤或筆記本電腦)，信息科技系統遭黑客、惡意軟件攻擊，郵件或電郵出錯，員工不遵守指令等。在這些常見事故中，最為普遍的是員工沒有遵循保密協議。

我給大家介紹一些真實案例。某銀行的一名員工在瓦次普(WhatsApp)即時通信軟件上設置客戶群組，把自己的季度業績表發給了79名客戶，以致79名客戶的電話號碼、用戶名稱及圖像于群組內被公開。這起事故的原因是，該員工沒有遵循銀行不得使用實時通信服務軟件作公務的規定。事故之后，銀行首先處分了這名員工，然后向所有員工重申相關政策和這些政策的重要性。

另一起事故是某網絡社交平臺的數據庫遭黑客攻擊，約330萬名會員的資料被泄露。經過調查，我們發現該平臺的防火墻設定有問題，于是就采取了補救措施：更正防火墻的設定，限制數據庫的存取權，增強該平臺的保密效果。

六、 提升公眾的隱私保護意識

隨著公眾對于保障個人數據安全的要求提高，我們認為，組織機構應該把數據安全的保障級別從合規提升到問責，以推動機構將提升資料保障能力作為良好管制的必要一步，而且這種提升應該是自上而下的。

除了采取法律手段，公署也開展對外聯系和推廣，輔以教育和宣傳，幫助改善我們與業界的關系。我們經常與不同機構進行對話，就如何保障個人信息進行討論，聽取他們的寶貴意見?，F在，個人信息的保護已經成為全球性問題，因此我們也與海外的個人信息保護組織進行合作。目前，香港是亞太區隱私機構的成員，我們也加入了亞太經合組織電子商務督促小組，成為繼加拿大、以色列、美國和英國之后的第五個成員。對于公眾來說，通過組織公眾教育活動如講座、比賽和展覽，拍攝電視宣傳片等，公署能夠提升市民在數據保護方面的意識，幫助他們理解個人信息保護的重要性。

今年我們拍攝了一部教育短片，叫作“隱私神探”。這是一個系列小短片，目的就是提醒公眾上網要審慎。除了以上種種措施，我們也出版了很多刊物，包括指引資料、小冊子以及海報等。所有這些資料都可以在公署網站(https://www.pcpd.org.hk/)上找到。

(編輯：戴 佳)

Privacy Commissioner for Personal Data, Hong Kong: Social Media and Personal Data Privacy Protection

Amy Chan, Joyce Lai

(Privacy Commissioner for Personal Data, Hong Kong)

Protection of personal data is becoming increasingly important in the social media era. As an independent statutory regulatory body, the Privacy Commissioner for Personal Data of Hong Kong aims to safeguard the privacy of individuals in relation to personal data. The Personal Data (Privacy) Ordinance, introduced by the Commission, came into effect on 20 December 1996, making it the first of its kind in Asia. The Ordinance established six data protection principles, and stipulated the Commission’s sphere of validity. The article explains work procedures of the Commission, and uses specific cases to illustrate the impact of social media on the body’s operation, including enforcement, monitoring and supervising compliance, and promotion and public education.

Privacy Commissioner for Personal Data of Hong Kong; personal data protection; Personal Data (Privacy) Ordinance; social media

1. 陳美儀:香港個人資料私隱專員公署投訴及查詢部總監。

2. 黎智敏:香港個人資料私隱專員公署合規部總監。

3. 袁燁:清華大學新聞與傳播學院碩士研究生。