問答環節

處理學校投訴講座：有關《個人資料(私隱) 條例》的關注

保障、尊重個人資料私隱 2021年3月9日

校園私隱議題

六項保障資料原則

相關個案分享

使用閉路電視進行監察活動

最新私隱議題

(保護兒童的網上私隱 COVID-19

資料外洩事故處理

問答環節

《個人資料（私隱）條例》

及六項資料保障原則

《個人資料（私隱）條例》

1995年制訂， 主要條文於 1996年12月20日生效

憲法權利

• 香港基本法

• 香港人權法案

除了與直接促銷或法律協助計劃有關的條文於 2013年4月1日實施外，修訂的《私隱條例》

於2012年10月1日生效

亞洲首個就個人資料私隱制訂 法例的司法管轄區

適用於公私營機構（包括政府）

獨立、非政府部門

並非絕對的權利，

需平衡公眾利益

個人資料屬於資料當事人

基本人權

5

原則為本 科技中立

非「緊身衣」 非禁制性 兼容創新

《私隱條例》的特點

1980 1995 1996 2005 2013 2015 2016 2017 經濟合作暨發展組織

《私隱指引》

歐盟 《歐盟資料 保障指令》

《個人資料（私隱）條例》

APEC《亞太經 濟合作組織私 隱保障綱領》

經濟合作暨發 展組織修訂

《私隱指引》

APEC修訂

《亞太經濟合 作組織私隱保

歐盟《通用數據保護條 例》 (GDPR)

(2018年生效)

數據道德

(a) 直接或間接與一 名在世人士有關

(b) 從該等資料直接或 間接地確定有關的個人

的身分是切實可行的

(c) 該等資料的存在形 式令查閱及處理均是

切實可行的

何謂「個人資料」？

有關學生

•

有關教職員

•

•

學校處理的個人資料

9

「資料當事人」vs「資料使用者」

• 資料當事人是指屬該個人資料的當事人的在 世人士; 或

• 《私隱條例》釋義所界定的代表該名個人的 有關人士

• 《私隱條例》只規管資料使用者

• 資料使用者定義：獨自或聯同其他人控制個

《私隱條例》第 65條

• 僱員或代理所從事的任何行為，須視為亦是由他及其僱主或主 事人所作出或從事的，不論其僱主是否知悉或批准。

• 任何作為另一人的代理並獲該另一人授權的人所從事的任何行 為，須視為亦是由該另一人作出的。

• 假如僱主已採取切實可行的步驟，以防止該僱員作出該作為或 從事該行為或在其受僱用過程中作出該類作為或從事該類行為

，即為免責辯護。

僱主及主事人的法律責任

僱主及主事人的法律責任

僱主

法團校董會

僱員

校長

資料處理者

• 資料處理者：代另一人處理個人資料；並不為該人本身的目 的而處理個人資料

• 即使個人資料處理程序外判，資料使用者亦須為承辦商的錯

失負上法律責任

合約規範方法

資料使用者須要求資料處理者：

• 須採取保安措施，以保障受託的個人資料

• 在完成受託安排後，必須交還、銷毁或刪除有關資料

• 不得為其他目的而使用或披露個人資料

• 禁止分判受託提供的服務

• 如容許分判，資料處理者與分判商的協議中須對分判商施加同樣的責任

• 必須即時報告任何不尋常徵兆或保安違規情況 資料使用者須同時在合約中列明：

《私隱條例》的原則

收集目的 及方式

資料使用 限制 資料

準確性及 保留期限

保安措施 透明度 查閱及 更正

原則1 ─ 收集資料的目的及方式

•

必須與資料使用者的職能或活 動有關

•

收集的資料要適量而不過多

收集的方式必須合法及公平

拍攝學生於實習時的表 現作評估用途

有否收集個人資料?

學校走廊安裝了多個閉路電 視鏡頭，可拍攝到學生進出

課室及一舉一動

何謂收集個人資料?

Eastweek Publisher Ltd. v Privacy Commissioner for Personal Data (CACV 331/1999)

收集個人資料的要素

• 藉以匯集及編輯一名個人的資料

• 該名個人的身份必須已被資料使用者 識辨

• 資料使用者有意圖或嘗試去識辨該名 個人的身份

• 該名個人的身份對資料使用者來說是

重要的

「收集個人資料聲明」

1. 收集資料的目的；

2. 資料可能會轉移給甚麼類別的人；

3. 資料當事人是否有責任抑或是可自願提供資料；

4. 如資料當事人有責任提供該資料，他拒絕提供資 料所需承受的後果;及

5. 他有權要求查閱及要求改正自己的個人資料及提

「收集個人資料聲明」範例

• 投訴人為其兒子報讀某學校

• 遞交報名表時，學校要求她必須提供他的身份證 副本，否則不會接受她兒子的入學申請

• 投訴人沒有提供，並向公署投訴該校過度收集個 人資料

個案分享 (1)

COPY

《身份證號碼及其他身份代號實務守則》

第3.2段

﹕除在該段所述的情況外，資料使

個案分享 (1) 續

• 投訴人通知學校她的女兒退學，被老師要求家長 提供退學原因及將轉讀的學校，同時亦口頭詢問 該學生收集該等資料

• 收集資料聲明?

個案分享 (2)

教育局向家長表示退學/轉校毋須提供原因及轉往學校 的名稱

學校不公平及過度收集有關資料?

個案分享 (2) 續

• 投訴人的女兒參加小一統籌辦法，被教育局抽樣作 地址核查，她不滿調查人員收集她女兒的就讀幼稚 園的資料、課後參與的活動及時間、以及一般起居 資料

• 過度收集?

• 收集資料聲明?

個案分享 (3)

地址核查政策背後的理念﹕

公平及公信力(非預約家訪的重要性)

公平收集 = 清楚告知每項將會收集的調查資料?

資料使用者如何避免不公平收集?

個案分享 (3) 續

提供收集資料聲明的例外情況:

(i) 資料使用者是為了《私隱條例》第8部中所述的目的（例如防止 或偵測罪行；防止、排除或糾正任何人所作的不合法或嚴重不當的 行為、或不誠實的行為或舞弊行為）而收集個人資料；

(ii) 該些個人資料根據《私隱條例》第8部獲豁免而不受保障資料第6 原則的條文所管限；及

(iii)遵從保障資料第1(3)原則便相當可能會損害該屬《私隱條例》第 8部中所述的目的。

個案分享 (3) 續

原則 2(1) ─ 個人資料的準確性

• 資料使用者須採取切實可行

的步驟，確保所持

原則 2(1) ─ 個人資料的準確性

• 成績報告

• 繳費資料

• 學生家庭資料

• 緊急聯絡資料

原則 2(2) ─ 個人資料的保留期間

• 完成資料的使用目的後(即合理

時間內)，刪除資料

• 透過合約規範或其他方法

，防

止轉移予資料處理者處理的個

人資料被保存超過所需時間

• 須採取切實可行的步驟，確保所持個人資料準確無誤

• 在完成資料的使用目的後，刪除資料

[注意《私隱條例》的第26條的規定：資料使用者採取所有切實可行的步 驟刪除已不再為使用目的而需要的個人資料，除非刪除是受任何法律禁 止或不合乎公眾利益。相比違反保障資料第2原則，違反第26條會構成罪 行，最高可被判罰款港幣1萬元。]

• 如聘用資料處理者處理個人資料，須透過合約規範或其他方法，防 止轉移予資料處理者處理的個人資料被保存超過所需時間

原則 2(2) ─ 個人資料的保留期間

• 受地址核查的家長認為教育局不應繼續保留有關 調查的資料

• 收集目的何時完成? 完成調查後?派位後?其他合 理時間?

• 個人資料的保存政策

個案分享 (4)

原則 3 ─ 個人資料的使用

• 如無當事人的訂明同意，個人資料不得用

於新目的

「新目的」指在收集資料時擬使用的目的或直 接有關的目的以外的目的

• 容許「有關人士」 於特定情況下代資料當

事人提供訂明同意

原則 3 ─ 個人資料的使用

校內張貼學生成績

校網披露學生優異成績

一名學生的自白

• 學生在學時參與成績考核、課外活動及比賽項目後, 學校將學生 的成績和獎項上載校網. 學生認為此舉目的為建立學校的形象,但 他從未對此表示同意.

• 學生對任何人可於互聯網搜尋器找到他未成年時的詳盡在校成績 紀錄感覺不安.學生表示長年被親友、同學、同事及陌生人知悉有 關資料後對他評價和與他人比較. 他不希望在互聯網上暴光.

個案分享 (5)

• 收集目的與使用目的一致或直接相關

• 訂明同意(如使用於新目的)

• 個人資料的保存期

• 披露的資料類別

個案分享 (5)續

公署建議

學校在張貼涉及個別學生的個人資料告示或文件公開 展示前，應考慮：

• 保障資料第3原則的規定

• 公開這些個人資料的目的

• 衡量披露相關資料的必要性及程度，與及涉及披露 的個人資料的敏感度；及

• 大學教學人員離職後，投訴大學未得她同意將以她個 人資料登記的電郵沒收，並更改了相關帳戶密碼。

• 投訴人表示大學收集了她在帳戶中的個人資料，並可 能會以她的身份登記其他電子平台/媒體的帳戶或參與 網上的活動。

個案分享 (6)

• 建立電郵的目的 (工作相關、不能用大學電郵)

• 涉及的個人資料(私人電郵、帳戶上的個人登記資料)

• 大學制定有關政策/指引

個案分享 (6)續

原則 4 ─ 個人資料的保安

• 資料使用者須採取切實可行的步驟確保個人資料 的保安，免受未獲授權或意外的查閱、處理、刪 除、喪失或其他使用

• 資料在儲存、處理及轉移方面均得到妥善保障

• 透過合約規範或其他方法，防止轉移予資料處理 者處理的個人資料未獲准許或意外地被查閱、處 理、删除、喪失或使用

• 投訴人是名家長，他在社交平台發現內容與他曾向教 育局作出的投訴的事項相關的帖文。由於投訴人表示 有關投訴只有校長、校監和校董知悉，他懷疑有關帖 文是家長校董匿名上載的。他投訴公署學校對他的投 訴資料保安不足。

• 學校表示不曾向該家長校董披露投訴人的投訴資料，

有關投訴資料可能透過其他渠道如家長教師會選舉、

個案分享 (7)

• 沒有資料顯示事件是因學校保安不足而讓家長校 董知悉有關投訴資料，亦不能確認上載帖文者的 身份。

• 學校與各校董簽署保密協議，並提醒老師及家長 教師會有關《私隱條例》的規定。

個案分享 (7)續

教育機構安排學生報讀其他培訓機構舉辦的課程，

不慎將共二百多名學生的報名資料總表(包括出生日 期)，透過夾附的電郵傳送至所有參與的培訓機構。

行政上訴委員會於行政上訴第25/2014號個案中曾指出：

「… 第4保障資料原則並非要求資料使用者要百分之 一百保證資料不會被未獲准許的或意外的查閱等等，

個案分享 (8)

• 職員的協作溝通

• 加密的效用

• 職員的良好操守審慎態度及辦事能力而採取 的措施

• 按政策採取補救措施

個案分享 (8)續

組織層面上的預防措施（由管理層開始，從上而下 貫徹執行個人資料私隱保障）；

技術層面上的預防措施（包括硬件的保安、系統登 錄、數據傳輸和儲存的安全措施及定期審視保安措 施等）；

資料外洩事故發生後的緩解措施（包括補救措施、

切實可行的步驟

學校資料保安

調查: 90%中小學 電腦網站無加密

https://orientaldaily.on.cc/cnt/news/20180501/00176_038.html#

教育局:

八校網上校管系統被入侵

https://news.rthk.hk/rthk/ch/component/k2/1496400- 20191206.htm

資料外洩事故的處理

資料外洩事故的處理

資料外洩事故的處理

資料外洩事故的處理

資料外洩通報機制

原則 5 ─ 資訊須在一般情況下可提供

（透明度）

資料使用者須提供：-

1) 個人資料的政策及實務

3) 會為何種主要目的而使用

原則 6 ─ 查閱個人資料

•

資料當事人有權要求查閱及改正自己的個人資料

•

資料使用者須於40天內依從該項要求

•

資料使用者可收取不超乎適度的費用

查閱資料要求表格

《私隱條例》第19(1)及(2)條

• 條例第19(1)條訂明，資料使用者須在收到查閱資料要求

的40日內，依從該項要求

• 凡資料使用者不能在收到查閱資料要求後的40日內依從該

項要求，須根據條例第19(2)條的規定在該期間屆滿 前以

書面通知提出要求者他不能如此依從該項要求，以及其理

拒絕依從查閱資料要求

《私隱條例》第21條

• 收到查閱資料要求的40日內

• 書面通知

• 拒絕依從

• 拒絕理由

• 另一資料使用者的地址及姓名或名稱(如 第20(3)(d)條

適用)

一名老師在校內受傷並於社交平台批評學校對工傷事件 的處理手法，學校對老師進行紀律調查。

老師在向校方遞交查閱資料要求，索取有關校方就有關 工傷索償及對他進行紀律調查的會議的錄音紀錄。

校方引用條例第55條的「有關程序」豁免，拒絕依從的 查閱資料要求，直至有關紀律調查程序完成為止。

個案分享 (9)

《私隱條例》第55條訂明，屬「有關程序」的標的之個人資 料獲豁免而不受第6保障資料原則及第18(1)(b)條的條文所管 限，直至該程序完成為止。

「有關程序」的定義包括與有關的資料當事人有關的任何合 約、名銜（包括學術及專業資格）、獎學金、榮譽或利益應 否予以延續、修改或撤銷，而有關資料當事人是有權就當中 所作出的決定提出上訴的。

個案分享 (9)續

使用閉路電視進行監察活動

是否涉及「收集」個人資料?

• 安裝閉路電視而沒有開啟攝錄功能，只作實時監 察

• 已開啟閉路電視的攝錄功能，但所攝錄的影像不 能清楚看到人的容貌

• 安裝閉路電視以拍攝他人的影像，並儲存攝錄片

，以用作識別有關人士的身份(例如僱主監察僱員

• 一所大學校園的民主牆上出現了一些冒犯性的字句。事件引起公眾關注 及傳媒廣泛報導，當中一份報章更公開了兩名男子涉嫌張貼有關字句的 閉路電視片段截圖

• 公署所得資料顯示，大學保安中心在事件發生後翻查校園的閉路電視片 段，並用手提電話拍攝相關的兩張截圖，然後傳送到大學管理層人員組 成的即時通訊社交媒體群組中，希望能盡快識辨涉案人士。群組內的部 分成員更將該兩張截圖轉發至十多名教職員及一名學生，要求他們協助 識辨該兩人。

個案分享 (10)

• 公署留意到大學以即時通訊社交媒體傳閱兩張截圖的目的是進行紀律調查，

與其原先為保安理由而安裝閉路電視監察系統的目的並不相同，表面上或 不符保障資料第3原則的規定

• 不過，如果是為調查及懲處嚴重不當行為（並不限於罪案）的目的而使用 的個人資料，則受《私隱條例》第58條所豁免，以致有關資料不受保障資 料第3原則所管限

• 在考慮到事件影響大學校譽及有關行為涉及違反學生行為守則（如字句是 學生張貼），公署認為《私隱條例》第58條的豁免適用，即大學以即時通 訊社交媒體傳閱兩張截圖的做法不涉及違反保障資料第3原則的規定

個案分享 (10)續

• 不過，公署認為即使該大學有必要第一時間將兩張截圖於該群組內傳閱，

大學亦務必要提醒群組的成員該兩張截圖屬機密資料，不可隨意轉發，以 及在完成使用截圖後，須立即將截圖刪除等。

• 由於該大學沒有採取所有合理地切實可行的保安措施去保障該兩名人士的 個人資料，公署認為該大學違反了保障資料第4原則的規定。

個案分享 (10)續

• 該大學接納公署的意見，並採取以下措施加強保障校園閉路電視片段：

• (i) 在該群組訂明各人均須遵守保密原則；

• (ii) 制定閉路電視監察政策及程序，包括清楚列明持有個人資料的種類、

收集資料的主要使用目的及保留政策等事宜；及

• (iii) 為負責有關閉路電視系統的日常運作的職員制定詳細的工作指引，當 中包括翻查及截取閉路電視片段的程序及保安措施。

個案分享 (10)續

收集僱員的個人資料作監察

• 科技進步有助僱主更方便及更有效益地監察僱員

• 考慮因素:

➢ 監察是否必需?

➢ 有沒有其他較不侵犯私隱的選擇?

➢ 有否與受影響人士進行有效溝通?

➢ 有否定期進行審核及檢討?

• 常見監察方法:

收集電話及互聯網使用記錄

閉路電視監察及使用航拍機指引

最新私隱議題

▪

、電郵)

保護學童網上私隱

保 障兒童 網上私隱 – 給校方的建議

第1步：積極參與

➢ 親身體驗

➢ 參與兒童的網上活動

➢ 了解家長的操控措施 第2步：還原基本步

➢ 私隱保障由自助保安開始

➢ 慎留數碼腳印

➢ 檢查預設設定

➢ 網上世界無私隱

保 障 學生網上私隱 – 給校方的建議

• 教導兒童受到網絡欺凌，應向家長及老師尋

網絡欺凌

• 教導兒童思量網上眾多「免費」服務，很多 時是以他們的個人資料作交換，最終可能得 不償失

免費服務的代價

網上身份不是真實

• 教導兒童分網上平台分享資料前要想清楚

互聯網

• 應提醒兒童網上世界是虛擬的，不等同現實世界

• 網上通訊可能會為人身安全帶來危機/造成財物損失

• 「兒童網上私隱 — 給家長及老師的建議」

• 「在網絡世界保障私隱－精明使用社交網」

• 「保障私隱-明智使用智能電話」

• 「網絡欺凌你要知！」

• 「明智使用電腦及互聯網」

相關刊物

https://www.pcpd.org.hk//tc_chi/resour

兒童私隱專頁

https://www.pcpd.org.hk/childrenprivacy/

例一:

一名學童被同學在社交平台公開她的照片並加以抹黑

例二:

一名家長懷疑另一名家長因學童間的爭執而在社交

網絡欺凌

• 社交平台在《私隱條例》下的責任

• 確定被投訴者身份

• 引導兒童應對網絡欺凌

孩子被網絡欺凌及起底

學校、家長及社工應怎做 ？

接 獲 投 訴

審 閱 投 訴

處 理 投 訴

調 停

調 查

警方刑事 調查／

執行通知

向公署投訴

利用社交網站的攔阻功能來停止接收欺凌 及起底訊息

向社交網絡營運商舉報，要求移除起底內容

孩子被網絡欺凌及起底

學校、家長及社工應怎做？

鼓勵孩子尋求協助

• 從孩子角度出發開解他們

• 告訴孩子被網絡欺凌及起底錯不

在他們，有人可伸出援手

如何預防孩子免受網絡欺凌？

• 關心孩子在網路上的體驗

• 留意個人數碼足跡

• 鼓勵合宜的網上行為和正面的媒體經驗

→瀏覽網站時謹慎地提供個人資料（如名字、就讀學校、照片等)

➢ 分享 + 溝通

己所不欲，勿施於人 言傳身教、以身作則

2019冠狀病毒病疫情

引發的私隱議題

推行抗疫措施的考慮因素

• 私隱權並非絕對，須與其他利益或權利平衡

• 需衡量措施是否必要或相稱

• 措施是否合符控制和預防冠狀病毒病傳播並拯救公眾生命的正當目的

• 實行措施是否合理地與該正當目的有所關聯

• 措施帶來的限制不能超越達到合法目的所需的程度（即只會披露必須及不超乎適度 的資料）

疫情下保障員工個人資料 問 疫情下僱主可收集僱員的健康數據 / 外遊資

料嗎？

答

僱主須平衡公共衞生和個人資料私隱﹕

• 收集員工的健康數據或屬2019冠狀病毒病醫學症狀的 有限資訊，一般情況屬合理做法

• 沒禁止任何機構收集他人的外遊資料

• 收集的資料是必要、適當及與達到的目的相稱

• 匿名或刪除可識別資料的方式處理

• 自我申報機制收集資料

疫情下保障員工個人資料 問 僱主可收集哪類個人資料，及如何正確地

收集？

答

• 除非得到相關人士自願給予的明示同意或《私隱條例》

下的豁免適用

• 向政府或衞生機構披露他人身份、健康狀況及位置資訊 作追蹤和治療感染者，不會被視為違反《私隱條例》

• 不透露感染者的個人身份信息作出通知

疫情下保障員工個人資料 問 僱主可把收集的個人資料向其他人披露、

或用作其他目的嗎？

答

• 已達致收集目的後，經過一段合理時間亦沒證據 說明僱員感染2019冠狀病毒病，或與感染者有密 切接觸，僱主應永久銷毀為有關個人資料

問 收集有關僱員的醫療及健康數據可被保留 多久？

答

疫情下保障員工個人資料

學校在2019冠狀病毒病疫情期間收集及使用 教職員及學生個人資料的指引

• 學校可否收集教職員及學生的體溫測量紀錄、出行 紀錄及其他健康狀況資料？

• 學校可否把教職員及學生的個人 資料用於其他目 的或披露予其他 人士？

• 學校可以保留所收集的個人資料多久？

• 在資料保安方面學校有甚麼須要注意？

• 教職員及學生就其個人資料有何權利？

在家工作

學校

• 為在家工作安排下的資料處理（包括個人資料）制定清晰的政策；

• 採取所有合理切實可行的步驟確保資料安全，特別是當涉及使用資訊及 通訊科技以便利在家工作，或涉及將資料和文件轉移予僱員給他們在家 工作；

• 為在家工作的僱員提供足夠培訓及支援，以確保資料安全；及

• 確保為僱員提供的電子裝置內的資料安全。

在家工作

教職員

• 在可行情況下，只使用公司裝置處理公事；

• 加強Wi-Fi連接及電子通訊（包括電郵及即時通訊）的保安；

• 避免於公眾場所工作，以免意外地將個人資料或限閱資料洩露給第三方；

• 在必要從辦公室帶走紙本文件時，確保妥善處理資料。

關於使用視像會議軟件

• 審視及評估不同視像會議軟件在保安及保障個人資料私隱方面的政策和措施，以 按需要選用合適的軟件；

• 妥善管理帳戶，設定高強度密碼並定期更改密碼，及啟用多重身份認證功能；及

• 核實與會者的身份，防止其他人士擅自加入會議。

聯絡我們

o 查詢熱線

2827 2827

2877 7026

o 網址

www.pcpd.org.hk

o 電郵

communications@pcpd.org.hk

地址

香港皇后大道中248號

陽光中心13樓1303室

講座的資訊和建議只作一般參考用 途，並非為法例的應用提供詳盡指 引。機構／企業應按其所需徵詢具 體的法律意見，並對其私隱政策、

措施及程序作出適當修訂。