lego logo
保障可在公共領域取得的個人資料
2013-10-16

以下為今日(十月十六日)在立法會會議上莫乃光議員的提問和政制及內地事務局局長譚志源的書面答覆:
問題:

政府在二○○九年就檢討《個人資料(私隱)條例》(第486章)(《條例》)進行諮詢時,個人資料私隱專員公署(公署)建議在公共領域取得的個人資料無需受保障資料第3原則(即個人資料的用途須與最初收集的目的相同或直接有關)的規管,但政府認為該建議理據不足而不予跟進。公署於本年八月中發表的調查報告,指稱一個把公共領域的訴訟及破產資料整合成為資料庫供用戶檢索的手機應用程式,嚴重侵犯資料當事人的私隱。有資訊科技業人士向本人反映,有關使用公共領域資料的法例未追上科技發展,有需要作出檢討。此外,政府已開發了62個流動應用程式(流動程式)為市民提供服務,有關程式亦涉及存取用戶的資料。就此,政府可否告知本會:

(一)是否知悉,公署在制訂《使用從公共領域取得的個人資料指引》的過程中,有否諮詢資訊科技業人士及團體,以確保該指引切實可行;如有,詳情為何;如否,原因為何;

(二)鑑於當局在《2014數碼21資訊科技策略》的公眾諮詢文件中建議廣泛提供公共資料,開放公共資料供免費再用,以開發網上服務及流動程式,當局有否與公署商討制訂指引,協助資訊科技業界使用公共資料時避免侵犯個人私隱;如有,詳情為何;如否,原因為何;

(三)鑑於某些國家(例如新加坡、新西蘭)的私隱法例對使用公共領域的資料作出若干豁免,當局會否檢討(i)公共領域資料的定義、(ii)保障資料原則的豁免範圍,以及(iii)在《條例》於一九九六年生效時所列出公開資料的(明文或隱含)目的;如會,詳情為何;如否,原因為何;

(四)是否知悉,公署有否抽查政府部門開發的流動程式使用個人資料的方式,並要求各政府部門(及其代理人)按照《保障個人資料私隱:流動應用程式開發商及其委託人須知》開發有關程式;如有,詳情為何;如否,原因為何;政府有否評估其流動程式對用戶構成的潛在私隱風險並採取相應措施;如有,詳情為何;如否,原因為何;及

(五)各政府部門(及其代理人)開發的流動程式有否讀取用戶的資料(包括手機獨特識別碼、定位位置、用戶登入程式的帳號、手機正在執行的應用程式、手機攝影功能或麥克風、短信或圖像信息、通話紀錄、通訊錄、日誌內容等),並按流動程式名稱列出所讀取的私人資料類別;各政府部門(及其代理人)有否擬備易於查找和易於閱讀的私隱政策聲明,在用戶下載程式時清楚解釋其手機上的資料會否被程式讀取及目的、何種資料會被讀取和讀取的方式;有關部門(及其代理人)如何處理有機會辨別用戶身分的資料及非個人身分識別碼的資料?

答覆:
主席:

《個人資料(私隱)條例》(《私隱條例》)中的保障資料第3原則旨在保障資料當事人的個人資料,不會被用於原本沒有預見的用途上。該原則訂明,如無有關資料當事人的訂明同意,個人資料不得用於在收集資料時擬用於的目的或與其直接相關的目的以外的目的。
就問題的各部分,經諮詢相關政策局和機構,現答覆如下:

(一)根據個人資料私隱專員公署(公署)提供的資料,公署在二○一三年八月十三日發出的《使用從公共領域取得的個人資料指引》(該指引)旨在協助資料使用者依循《私隱條例》的規定,尤其是保障資料原則,供資料使用者在收集和使用存在於公共領域的個人資料時作一般性應用及參考,並不是為任何個別業界而設,因此公署在草擬該指引時沒有諮詢個別業界。儘管如此,公署不時檢討所發出的各項指引,並歡迎不同業界提出任何意見及回應。在發出該指引後,公署曾於二○一三年八月三十日為資訊科技業界舉辦講座,向參加者講解該指引及《私隱條例》如何應用於流動應用程式中。

(二)政府當局在二○一一年推出公共資料入門網站「資料一線通」(data.one.gov.hk),提供以數碼格式編製的公共資料,供免費使用,從而激發創意和民間智慧,開發創新的網上服務和流動應用程式,以期利便市民、促進營商和支持學術研究。至今,網站載有十四類資料,包括道路交通情況、空氣污染指數、天氣、公共設施的地理參考數據、人口普查統計、物業市場統計等。所開放的資料並不涉及個人私隱。
政府當局在《2014數碼21資訊科技策略》的公眾諮詢文件中,建議把已公開的政府資料以數碼格式編製,以利便公眾使用。由於這些已公開的資料並不涉及個人私隱,因此不存在侵犯個人私隱的問題。

(三)政府當局在二○○九─二○一○年曾就《私隱條例》進行了全面的檢討並進行公眾諮詢,檢討及諮詢的內容包括《私隱條例》下的豁免範圍,並特別就應否豁免在公共領域中取得的個人資料無需受保障資料第3原則的規管諮詢公眾。當時公署向政府當局提出應考慮是否可豁免在公共領域取得的個人資料,不受保障資料第3原則的規管。政府認為此舉可能導致可以在公共領域取得的資料被濫用,例如不當地使用在資料外洩事故中,從互聯網取得的個人資料。因此我們在諮詢文件表示不擬跟進這項建議,並就此諮詢公眾意見。在接獲的意見書中,只有小部分就此建議發表意見,全部都認為不應跟進豁免建議或是對此建議沒有意見。因此,政府當局在二○一一年向立法會提交的《2011年個人資料(私隱)(修訂)條例草案》中沒有提出這方面的豁免。該條例草案於立法會討論時,亦沒有任何意見提出,應就這方面作出豁免。
此外,當局注意到雖然有些國家在這方面作出豁免,但亦有其他國家例如英國及澳洲等地的個人資料保障法例並無公共領域的豁免。我們目前沒有計劃進行檢討。

(四)政府資訊科技總監辦公室一直以來都有就開發流動應用程式制定指引,指定政策局/部門在開發過程中,須嚴格依循《私隱條例》及公署所訂的指引。在開發涉及個人資料的流動應用程式時,政策局/部門須進行私隱風險評估,並採取相應措施,以保障私隱。
為使各政府政策局/部門更深入了解開發流動程式時在個人資料私隱上值得注意的地方,公署曾於二○一二年派員到政府資訊總監辦公室所舉行的講座向出席之政策局/部門代表作詳細解釋。
公署於二○一二年十一月二十一日就智能手機應用程式在個人資料私隱保護上發出了《保障個人資料私隱:流動應用程式開發商及其委託人須知》後,政府資訊科技總監辦公室亦已將其上載至內聯網以供各政策局/部門參考。
為響應「全球私隱執法機關網絡」的一項聯合行動,公署在二○一三年五月六日,與其他十八個地區的私隱執法機關進行了一項私隱政策的抽查,以了解資料使用者在網上或手機應用程式上的私隱政策透明度。公署共抽查了六十款智能手機應用程式,當中四款程式是由政府政策局/部門開發或委託開發的。抽查結果已於公署網頁內公布。

(五)各政府政策局/部門(及其委託人)開發的流動程式讀取用戶資料的詳情載於附表。
各政府政策局/部門在開發程式時如牽涉收集或使用個人資料,都已依循《私隱條例》中的規定,並在程式中備有私隱政策聲明交代會否讀取手機上的資料、目的、何種資料會被讀取和讀取的方式。為了進一步增加程式的透明度,政府資訊科技總監辦公室亦鼓勵各政策局/部門在開發沒有收集或使用個人資料的程式時,也跟從公署的指引擬備私隱政策聲明。

附表:http://gia.info.gov.hk/general/201310/16/P201310160446_0446_118924.pdf

Office Of Hon. Charles Mok, Legislative Councillor (IT)