教育局優化學校投訴管理計劃 12.04.2018
陳培玲, 傳訊及教育經理 香港個人資料私隱專員公署
處理學校投訴講座:
有關《個人資料(私隱)條例》的關注
個人資料(私隱)條例
• 1995年 制定
• 主要條文於1996年12月20日生效
• 《2012年個人資料(私隱)(修訂)條例》的大部分 條文於2012年10月實施,
而規管直銷活動和法律協助方面的新條文 則於2013年4月1日生效
2
私隱 vs 個人資料
條例的宗旨
• 保障「資料當事人」在 「個人資料」方面 的私隱權利
• 不保障一般私隱事宜
4
個人資料的定義
「個人資料」指任何資料 -
(a) 直接或間接與一名在世人士 有關;
(b) 從該等資料 直接或間接地確定有關的個人的 身分是切實 可行的;而
(c) 該等資料的存在形式令予以「查閱」及「處理」均是切 實可行的
「資料」是指在任何文件 中資訊的任何陳述(包括意見表達)
5
個人資料的例子
• 姓名
• 電話號碼
• 地址
• 身分證號碼
• 出生日期
• 職業
• 賬戶資料
• ……
6工作評核 報告
7 7
誰是資料當事人?
資料當事人是指屬該個人資料的當事人的 在世人士
根據條例,已故人士不是資料當事人
8
誰是資料使用者?
資料使用者是獨自或聯同其他人操控個人資料
的收集、持有、處理或使用的人士
條例設定的保障資料原則
• 條例載列六項保障資料原則,是條例的基本精神
• 資料使用者在收集、持有、準確性、保留期間、
保安、私隱政策、查閱及更改個人資料各方面 , 必須遵從該六項原則的規定
9
條例下六項保障資料原則
10
原則 1 ─ 收集資料的目的及方式
• 必須與資料使用者的職能或活動有關
• 收集的方式必須合法及公平
• 收集的資料要適量而不過多
11
原則 1 ─ 收集資料的目的及方式
向資料當事人收集個人資料時,須告知資料當事人以下各 項資訊:
(a) 收集資料的目的;
(b) 資料可能會轉移給甚麼類別的人;
(c) 資料當事人是否有責任抑或是可自願提供資料;
(d) 如資料當事人有責任提供該資料,他拒絕提供資料所 需承受的後果;及
(e) 他有權要求查閱及要求改正自己的個人資料及提供處理 有關要求的人士的職銜及地址。
12
收集個人資料聲明範例
第一公司
招聘方面的收集個人資料聲明
第一公司會將本申請表所收集的個人資料,使用於評估你是否適合擔任所申 請的職位,以及在你獲挑選出任該職位時,用作與你商討初步的薪酬、花紅 及福利。
申請表中有(*)號的項目是挑選合適入選者所必須考慮的資料。求職者如不提 供此等資料,會對申請的處理及結果有所影響。
本公司的政策是為日後的招聘活動保留落選者的個人資料兩年。如本公司的 附屬或聯營機構在此期間出現職位空缺,本公司或會將你的申請轉交有關機 構考慮。
根據《個人資料(私隱)條例》,你有權要求查閱及改正申請表上所填報的個 人資料。如你欲行使這項權利,請填妥本公司的《查閱資料要求表格》,交 回人力資源部的資料保障主任辦理。
收集個人 資料的目的
不提供個人 資料的後果
個人資料轉 移給甚麼類
別的人 告知當事人 可行使的權
利 13
• 資料使用者須採取切實可行的步驟,確保所持個 人資料的準確性
• 資料使用者須採取切實可行的步驟,確保在完成 資料的使用目的後,刪除資料
• 如聘用資料處理者處理個人資料,須透過合約規 範或其他方法,防止轉移予資料處理者處理的個 人資料被保存超過所需時間
14
原則 2 ─ 個人資料的準確性及保留期間
原則 3 ─ 個人資料的使用
• 如無當事人的訂明同意,個人資料不得用於新目 的。
• 容許「有關人士」 於特定情況下代資料當事人提 供訂明同意, 讓資料使用者使用當事人的個人資 料於新用途上
「新目的」在收集資料時擬使用的目的或直接有關的目的
以外的目的
15原則 4 ─ 個人資料的保安
• 資料使用者須採取切實可行的步驟確保個人資料的保 安,免受未獲授權或意外的查閱、處理、刪除、喪失 或其他使用。
• 資料在儲存、處理及轉移方面均得到妥善保障
• 如聘用資料處理者處理個人資料,須透過合約規範或 其他方法,防止轉移予資料處理者處理的個人資料未 獲准許或意外地被查閱、處理、删除、喪失或使用
16
原則 5 ─ 資訊須在一般情況下可提供
資料使用者須提供:-
(a) 個人資料的政策及實務 (b) 持有的個人資料的種類
(c) 會為何種主要目的而使用 私隱 政策
17
原則 6 ─ 查閱個人資料
• 資料當事人有權:-
(a) 要求查閱自己的個人資料;資料使用者 可收取不超乎適度的費用
(b) 要求改正自己的個人資料
18
19
與校園處理個人資料
有關的例子及個案
學校助理 - 中五或以上程度 - 熟悉公司秘書職務
請將履歷寄往郵政信箱第100號
學校助理 - 中五或以上程度 - 熟悉公司秘書職務
有興趣人士可致電 2808-xxxx 與 陳小姐聯絡
要求求職者提供個人資料 沒有提供僱主身分
沒有要求求職者提供個人資料 提供聯絡人姓名,以便求職者 - 詢問僱主身分
- 詢問目的聲明方面的資料
不公平收集個人資料例子 – 匿名廣告
21
違反個案
例子:收集訪客資料
應考慮收集其他資料以替 代收集身份證號碼
23
個案分享:上司披露警告電郵內容
背景:投訴人是一間大學某學系的
行政職員,亦擔任大學某特定管理委員會 的秘書。投訴人的上司,即該學系的系主 任,亦擔任該委員會的主席。
由於投訴人的上司對投訴人的工作表現不 滿,因此向投訴人發出一封警告電郵,並 在沒有投訴人的同意下,把該警告電郵的 全部內容發送給委員會所有委員。
大學解釋:向該委員會所有委員披露該警 告電郵是必需的,因為該委員會的其中一 項職權是就「人力及其他資源調配」提供 意見,而披露該警告電郵可讓各委員確定
投訴人工作表現的不足。 24
個案分享:上司披露警告電郵內容
結果:沒有足夠證據證明各委員獲賦權檢討 投訴人的工作表現。此外,投訴人的上司只 是把該警告電郵發送給各委員,並無要求他 們就投訴人的表現提供建議及意見
結果:公署向該大學送達執行通知,要求 它採取步驟,通知獲賦權向員工發出書面 警告的人員,不要向第三者披露警告的內 容
結果:專員認為該大學並非以「有需要知道
」的基礎向該委員會各委員披露該警告電郵
,而且有關披露的目的並不是與收集目的相 同或與之直接有關,違反了第三原則規定
25
例子:一間學校將學生成績張貼於 走廊壁報
來源: https://hk.news.appledaily.com/local/daily/article/20160606/19643045
26
公署建議
學校在張貼涉及個別學生的個人資料告示或 文件公開展示前,應考慮:
• 保障資料 第3原則的規定
• 公開這些個人資料的 目的
• 衡量披露相關資料的 必要性及程度,與及涉及 披露的個人資料的敏感度;及
• 事先通知 資料當事人有關做法及目的
27
28
個案分享:教師在課堂上洩露學生資料
背景:投訴人的兒子就讀於一家中學。為獲 得學費補助,告知校方她是綜援的受助人。
投訴人稱,校方的一名老師在課堂上對投訴 人的兒子說:「你母親領取綜援。如果你不 上學,她就得不到援助金」
學校解釋:事件源於投訴人的兒子上課
時不守紀律。校方稱,該名老師無意向在班房 內的其他學生披露該資料。這只是該名老師與 投訴人的兒子的私人談話
結果:事件是由該名老師與投訴人的兒子在上課 時的談話而引起,導致可能洩漏該資料予班房內 的其他同學。經這次投訴後,校方已發出通告,
提醒員工不得向第三者披露學生的個人資料。該
名老師亦承諾適當處理學生的個人資料。 29
個案分享:院校網站資訊管理失當 洩九千學生個人私隱
30
source: https://goo.gl/EKtTxl
source: https://goo.gl/eGb6zn
source: https://goo.gl/di5uvn
資料外洩事故
資料外洩事故的處理
32
資料外洩通報機制
33
34
妥善處理投訴所得的個人資料 不收集與處理投訴無關的資料
制定政策將已完結的 投訴個案適時刪除 以「需要知道」原則
向他人披露與投訴有 關的資料
妥善處理與投訴個案有關的 查閱個人資料要求
投訴個案應妥善存放
在安全的地方
校園閉路電視
監察措施
何謂收集個人資料?
36
收集個人資料的要素
「收集」個人資料
•藉以 匯集及編輯一名個人的資料
•該名個人的身份必須 已被資料使用者識辨
•資料使用者 有意圖或嘗試去識辨該名個人的身份
•該名個人的 身份對資料使用者來說是重要的
37
• 若不涉及收集個人資料的行為,保障資料原則便不適用。
• 東周刊督印有限公司對個人資料私隱專員公署的個案 (2000) 2 HKLRD 83
東周刊在街上拍下投訴人的照片,並在其一篇報道中 刊登,評頭品足投訴人的衣着品味。
上訴法庭裁定時指出「在收集個人資料的行為中,資 料使用者必須藉該行為匯集已識辨其身分的人士,或 設法或欲識辨其身分的人士的資料,有關行為才屬收 集個人資料」
收集個人資料
38
個案:
本地一所大學閉路電視片段截圖外洩事件
• 傳閱截圖的目的 :
– 找出若干字句是否由該所大學的學生所張貼; 假如是,
有必要盡快確定涉案人士的身份,以便對有關學生 進行輔導
– 事件違反「學生行為守則」 繼而作出調查
個案分析
39
• 該大學保安中心職員翻查校園的閉路電視片段,發現有兩 名男子張貼相關字句
• 用手提電話拍攝相關的兩張截圖,然後傳送到該大學管理 層人員組成的WhatsApp群組中
• 群組內的部分成員更將該兩張截圖轉發至其他職員及一名 學生
個案分析 (續)
40
• 安裝閉路電視監察系統的目的 – 原先目的: 保安理由
– 當時目的: 採取紀律處分
閉路電視片段的用途有沒有改變?
• 條例的豁免
– 第58條
:為調查及懲處嚴重不當行為(並不限於罪案)的目 的而使用的個人資料受保障資料第3原則所管限
• 沒有違反保障資料第3原則的規定
個案分析 (續)
41
• 雖然該次事件沒有違反保障資料第3原則的規定,但由於該所 大學沒有採取所有合理地切實可行保安措施去保障該兩名人士 的個人資料
• 違反了保障資料第4原則的規定
• 大學採取的補救措施:
– 在該群組訂明各人均須遵守保密原則 – 制定閉路電視監察政策及程序
– 為負責有關閉路電視系統的日常運作的職員制定詳細的工 作指引
個案分析 (續)
42
當涉及收集個人資料時,應通知相關人士
影像及錄影在達致原來收集資料的目的後,應盡快被刪除
影像及錄影只可用於在收集資料時所述明的用途或與其直接有關 的用途
為防止影像及錄影遭未獲授權的查閱,必須採取保安措施 確保相關職員獲悉及依從所訂立的政策及指引
資料使用者應定期進行循規審查及覆核
使用拍攝裝置的建議
43
指引
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/GN_CCTV_Drones_c.pdf 44
45
保護兒童網上私隱 – 給教師的建議
45
46
兒童的個人資料私隱權利
• 只提供 所需的個人資料
• 公平 及為合法目的收集個人資料
• 獲告知 個人資料的用途
• 要求個人資料 準確及有安全保障
• 要求個人資料 不被過度保留
• 拒絕 同意更改資料用途
• 獲告知 處理其個人資料的機構的政策及措施
• 查閱及修正 個人資料
4647
保護兒童網上私隱三步曲
47
48
第一步 - 積極參與
• 親身體驗
– 在網上平台/系統中取得第一手知識
(例如開立網上帳戶)
• 參與兒童的網上活動
– 了解兒童 上網的目的及習慣
• 善用監控措施
48
49 49
了解網站對個人資料的處理
• 個人資料收集聲明:
收集資料目的、資料承轉人的 類別,以及查閱及改正個人資 料的聯絡方法
• 私隱政策聲明:
如何處理、使用及保留所持有 的個人資料
49
50
第二步 - 還原基本步
• 教導兒童
– 明智使用 電腦及互聯網 – 切勿隨意披露 個人資料 – 尊重 別人的私隱
50
51
帳戶及密碼
• 勿以相同的名稱/電郵地址 開立多個帳戶
• 不要 在多個帳戶(特別是存有敏感資料的帳戶)使 用同一密碼
• 不要抄下密碼及作定期更改
51
52
• 安裝 防毒軟件
• 為每一位用家 開設「受限制」用戶 (即非系統管理員)
• 定時 更新保安修補程式(包括操作系统及程式)
• 不安裝 盜版軟件
• 不要信賴 突如其來的電郵
電腦保安措施 – 軟件保安
52
53
• 把不使用的裝置用 密碼屏幕鎖上鎖 - 保護個 人資料免受其他用家查閱
• 為智能手機及平板/手提電腦 安裝防盜軟件 – 追踪下落
– 遠程控制資料刪除
電腦保安措施 – 實體保安
54
• 公共電腦只宜 瀏覽非敏感網站,不要剔「記錄我的登 入狀態」
• 切勿使用不明的 Wi-Fi網絡
• 不應隨便接納 第三方Cookies
• 切勿透過沒有使用 保密插口層(SSL) (即https://)的網 站傳送資料
上網保安措施
55
• 了解社交網 分享個人資訊的 運作,如開立不同朋友群組
• 只接受可信的人做「朋友」
• 檢查 私隱設定;限制可分享 的資訊
精明使用社交網
56
披露個人資料前要三思
• 網上/社交網上的留言可以留存/流傳久遠
• 在各個站留下的零碎資料可以被人匯集起來,從 而被重組身份
• 上載相片要留意有否洩露行踪
• 網絡欺凌
網上沒有「刪除」鍵
57
己所不欲 勿施於人
• 教導兒童應尊重他人的私隱
• 將貼別人的相片或透露別人的資料前,應徵求當
事人的同意
58 58
免費服務有代價
• 不要輕易提供個人資料 予 網站/App以換取服務
• 衡量網站/App所要求的個 人資料是否合理
• 有需要時應諮詢 家長/老師
的意見
59
第三步 - 樹立好榜樣
• 教師應以身作則
– 尊重自己及他人的個人資料私隱
– 在上載/分享他人(包括學生)的資料時,先徵得
當事人的同意
60
• 「兒童網上私隱 — 給家長及老師的建議」
• 「在網絡世界保障私隱-精明使用社交網」
• 「保障私隱-明智使用智能電話」
• 「網絡欺凌你要知!」
• 「明智使用電腦及互聯網」
刊物
• 違反保障資料原則不構成罪行,惟個人資料私隱專員可發 執行通知要求資料使用者採取步驟糾正違規行為
• 不遵守專員發出的執行通知,可被判處罰款50,000元及入 獄兩年
• 遵從執行通知後,故意作出違反條例的作為或不作為,屬 犯罪 :最高罰款$50,000,監禁2年,持續罪行,每日罰款
$1,000
• 重複違反執行通知:最高罰款$100,000,監禁2年,持續 罪行,每日罰款$2,000
罪行
61
根據條例第64條,任何人披露未經資料使用者同意 而取得的個人資料,
(i)意圖獲取金錢或財產得益或導致有關資料當事人 蒙受金錢或財產損失;或
(ii)該項披露導致該當事人蒙受心理傷害,
即屬犯罪。一經定罪:最高罰款$1,000,000及監禁 5年
罪行
62
63
公署資源 – pcpd.org.hk
• 人力資源管理實務守則
• 身分證號碼及其他身份代號實務守則
• 個人信貸資料實務守則
公署資源 – 實務守則
64
• 兒童網上私隱:給家長及老師的建議
• 《 2012年個人資料(私隱)(修訂)條例主要條文修 訂概覽 》資料單張
• 《披露未經資料使用者同意而取得的個人資料的 罪行》資料單張
• 《外判個人資料的處理予資料處理者》資料單張
公署資源 – 指引及資料單張
65
• 擬備收集個人資料聲明及私隱政策聲明指引
• 僱主監察僱員活動須知
• 收集指紋資料指引
• 閉路電視監察措施指引
• 資料外洩事故的處理及通報指引
66
公署資源 – 指引及資料單張
• 使用便攜式儲存裝置指引
• 經互聯網收集及使用個人資料:給資料使 用者的指引
• 個人資料的刪除與匿名化指引
• 資料使用者如何妥善處理查閱資料要求及 收取查閱資料要求費用
67
公署資源 – 指引及資料單張
68
專題網站
YouTube
www.pcpd.org.hk/childrenprivacy/index.html
www.youtube.com/user/PCPDHKSAR