• 沒有找到結果。

數據的進化

N/A
N/A
Protected

Academic year: 2022

Share "數據的進化"

Copied!
91
0
0

加載中.... (立即查看全文)

全文

(1)

《個人資料(私隱)條例》

在校園的應用

教育局

2019年11月19日

(2)

01

02

03

04

05

數據的進化和私隱相關議題

《私隱條例》下的六大保障資料原則及豁免情況 罪行及補償

直接促銷

保護兒童的網上私隱 私隱管理系統及數據道德

(3)

數據的進化

(4)
(5)
(6)
(7)
(8)

私隱議題無處不在

(9)

近年社會關注的私隱相關事件

2018年1月 多間旅行社的電腦系統遭入侵 2018年4月 寛頻公司客戶資料庫遭入侵

2018年4月 立法會大樓政府人員手機被取事件 2018年7月 網上調查平台懷疑外洩用戶資料 2018年9月 社交平台用戶帳號被黑客入侵 2018年10月 航空公司外洩客戶個人資料

2018年11月 大型跑步活動網站外洩參賽者個人資料 2018年12月 國際酒店集團外洩客戶個人資料

2019年4月 政府部門遺失選民登記冊

(10)
(11)

《個人資料(私隱)條例》

(12)

《個人資料(私隱)條例》

1995年制定

主要條文於1996年12月20日生效

• 2012曾作重大修訂

• 規管直銷活動和法律協助方面的新條文於

2013年4月1日生效

(13)

《私隱條例》的宗旨

• 保障「資料當事人」在 「個人資料」方面 的私隱權利

• 不保障一般私隱事宜

(14)

「個人資料」須符合以下三項條件:

(1)直接或間接與一名在世人士有關

(2)從該等資料 直接或間接地確定 有關的個人的 身分是切實可行的;而

(3)該等資料的存在形式令予以「查閱」及

「處理」均是切實可行的

「個人資料」的定義

(15)

個人資料的例子

• 姓名

• 電話號碼

• 地址

• 身分證號碼

• 出生日期

• 職業

• 賬戶資料

工作評核報告

(16)

指紋資料

「個人資料」?

(17)

誰是資料當事人?

• 資料當事人是指屬該個人資料 的當事人的在世人士

• 根據

《私隱條例》,已故人士

不是資料當事人

(18)

誰是資料使用者?

• 資料使用者 是獨自或聯同其他人操控個人資 料的收集、持有、處理或使用的人士

• 條例管轄 所有資料使用者

(19)

誰是資料處理者?

• 資料處理者是

代另一人處理個人資料;及

 並 不為該人本身的目的而處理個人資料

• 即使個人資料處理程序外判,資料使用者亦須

為承辦商的錯失負上法律責任

(20)

• 若不涉及收集個人資料的行為, 保障資料原則 便不適用

東周刊訴個人資料私隱專員公署

• 對「收集」個人資料的含意作出解釋

• 收窄 《私隱條例》的可應用情況

收集個人資料

(21)

收集個人資料的要素

• 藉以 匯集及編輯一名個人的資料

• 該名個人的身份必須 已被資料使用者識辨

• 資料使用者 有意圖或嘗試去識辨該名個人的身份

• 該名個人的 身份對資料使用者來說是重要的

(22)

拍攝學生於實習時的表 現作評估用途

有否收集個人資料?

學校走廊安裝了多個閉路電視 鏡頭,可拍攝到學生進出課室

及一舉一動

(23)
(24)

原則1 ─ 收集資料的目的及方式

必須與資料使用者的職能或活動有關

收集的資料要適量而不過多

收集的方式必須合法及公平

(25)

• 投訴人為其兒子報讀某幼稚園

• 遞交報名表時,幼稚園要求他必須提供他及配偶 的身份證副本,否則不會接受他兒子的入學申請

• 投訴人拒絕提供,並向公署投訴該幼稚園過度收 集個人資料

個案分享 (1)

COPY

(26)

• 因應本個案,該幼稚園承諾﹕

 修訂入學申請表,不會收集家長的身份證副本

 銷毁早前所收集的家長身份證副本

《身份證號碼及其他身份代號實務守則》

第3.2段

﹕除在

該段所述的情況外,資料使 用者不應收集任何個人的身分證副本

個案分享 (1) 續

(27)

• 投訴人應徵某學校的教師職位面試時,投訴人應 職員要求提供其身份證副本,投訴人最終不獲聘

• 該校解釋:面試人員未能即場核實投訴人身份, 故職員收集了投訴人的身份證副本,讓面試人員 核對

個案分享 (2)

(28)

《人力資源管理實務守則》

第2.2.2段﹕僱主不應向求職者收集超乎招聘所需的個 人資料,而只可收集足以履行招聘目的所需的資料

第2.2.4段﹕僱主不應在招聘過程中收集求職者的身分 證副本,除非及直至有關個人已接受聘任

個案分享 (2) 續

(29)

• 因應本個案,該校承諾:

 不會收集求職者的身份證副本,除非學校其後 聘用該名求職者

銷毁早前在招聘過程中所收集,但不獲聘用之 求職者(包括投訴人)的的身份證副本

個案分享 (2) 續

(30)

向資料當事人收集個人資料時,須告知資料當事人以下 各項資訊:-

收集資料的目的;

資料可能會轉移給甚麼類別的人;

資料當事人是否有責任抑或是可自願提供資料;

如資料當事人有責任提供該資料,他拒絕提供資料所 需承受的後果;及

他有權要求查閱及要求改正自己的個人資料及提供處 理有關要求的人士的職銜及地址。

原則1 ─ 收集資料的目的及方式

(31)

以易於閱讀的方式設計《收集個人資料聲明》 (包括字體大小 和行距,並適當地運用亮點)

清晰地顯示《收集個人資料聲明》,例如將它分開印刷為一份 獨立通告或將它作為申請表格的一部分

使用易於理解的語言,例如選用簡單的字詞

提供進一步支援給客戶,例如服務台或查詢服務等

收集個人資料聲明

建議

(32)

個案分享 (3)

背景:一名小學生家長投訴學校在沒有通 知家長的情況下,向網絡程式供應商提供 學生的姓名、班別和學號等個人資料,為 學生開設了帳戶,並以學生的出生日期作 預設密碼

學生在啟動帳戶的過程中,必須點擊同意 使用條款和私隱政策才可啟用有關服務 投訴人認為一個小四學生根本難以理解有 關條款及政策,如此取得學生的同意並不 公平

(33)

學校的回應:為配合課程及學生學習需要,

學校與網絡程式供應商簽訂協議,採用該公 司為教育機構提供教育平台,建立由學校管 理的學校帳戶,並向該公司提供學生的個人 資料以建立學生帳戶

學校擁有學生帳戶的管理權,並可按教學需 要設定學生可使用的服務 (例如電郵、圖書庫

、文件夾、雲端硬碟)

學生的姓名、班別及學號會被設定為電郵的

個案分享 (3) 續

(34)

學校的回應:學校把學生的帳戶密碼預設 為學生的出生日期,方便教師通知學生及 使學生容易記憶

學校承認沒有先徵求家長同意,但教師會 在電腦課堂首次使用啟用帳戶時,以口頭 方式:

1.要求學生在首次登入後更改密碼 2.教導學生正確使用帳戶

3.要求學生閱讀使用帳戶的條款 4.提醒學生帳戶只作教學用途

個案分享 (3) 續

(35)

學校的跟進工作:

•日後以其他字元組合作為帳戶的預設密碼

•以書面制訂學生使用帳戶的政策,列明:

1.使用個人資料開立帳戶的目的及用途 2.學校的管理權限

3.如何安全使用帳戶等資訊

•日後在為學生建立帳戶時,以通告形式告

個案分享 (3) 續

(36)

原則 2(1) ─ 個人資料的準確性

• 資料使用者須採取切實可行

的步驟,確保所持 個人資料

的準確性

(37)

原則 2(2) ─ 個人資料的保留期間

• 完成資料的使用目的後(即合理 時間內),刪除資料

• 透過 合約規範或其他方法,防止

轉移予資料處理者處理的個人資

料被保存超過所需時間

(38)

原則 3 ─ 個人資料的使用

• 如無當事人的 訂明同意,個人資料不得用 於新目的

「新目的」指在收集資料時擬使用的目的或 直接有關的目的以外的目的

• 容許「有關人士」 於特定情況下代資料當

事人提供訂明同意

(39)

原則 3 ─ 個人資料的使用

(40)

一間學校將學生成績張貼於走廊壁報

(41)

公署建議

學校在張貼涉及個別學生的個人資料告示或 文件公開展示前,應考慮:

• 保障資料 第3原則的規定

• 公開這些個人資料的 目的

• 衡量披露相關資料的 必要性及程度,與及涉及

披露的個人資料的敏感度;及

(42)

• 投訴人的兒子在某幼稚園就讀,老師為方便收集 學生感謝老師的短片,開設了一個WhatsApp群 組,將投訴人及其他家長加入群組內,以致家長 的手機號碼被公開

• 應先徵求家長的同意才開設群組

個案分享 (4)

(43)

• 投訴人曾就讀某學校。離校後,投訴人發現 該學校網站上載的校務報告中,披露了個別 學生的個人資料,包括違規及處分紀錄

• 因應本個案,該學校﹕

 即時移除該些校務報告

 承諾日後在編撰校務報告時,會仔細考

個案分享 (5)

(44)

原則 4 ─ 個人資料的保安

• 資料使用者須採取切實可行的步驟確保個人資料的 保安,免受未獲授權或意外的查閱、處理、刪除、

喪失或其他使用

• 資料在儲存、處理及轉移方面均得到妥善保障

• 透過合約規範或其他方法,防止轉移予資料處理者 處理的個人資料未獲准許或意外地被查閱、處理、

删除、喪失或使用

(45)

資料外洩事故

【專訊】某中學一名教師誤將160名學生個人資料,包括身 分證、出生日期、電話號碼等,以電郵發送給全校學生。校 長其後發信給家長和學生,承認是負責教師 「一時失誤」

並致歉。

【突發】某專上書院有數百張學生私隱文件,昨散落在校園 附近的西環堅道行人路,驚動途人報警。文件包含大量個人 資料,包括學生及其父母姓名和地址電話等,更有部分回鄉 證副本,書院承認誤將私隱文件當作普通廢紙,打算運往回 收,但未知為何最終會散落在街上,就私隱外泄致歉,並已

(46)

資料外洩事故的處理

(47)

資料外洩事故的處理

(48)

資料外洩事故的處理

(49)

資料外洩事故的處理

(50)

資料外洩通報機制

(51)

近期有關學校網絡安全方面的新聞

Source: https://goo.gl/wWuHQA

(52)

原則 5 ─ 資訊須在一般情況下可提供

(透明度)

資料使用者須提供:-

1) 個人資料的政策及實務 2) 持有個人資料的種類

3) 會為何種主要目的而使用

(53)

原則 6 ─ 查閱個人資料

資料當事人有權要求查閱及改正自己的個人資料

資料使用者須於40天內依從該項要求

資料使用者可收取不超乎適度的費用

(54)

處理由有關人士作出的 查閱資料要求

• 需考慮該人士作出有關要求是 否只涉及其自身 利益,而非當事人的利益

例子: 一名家長因被法庭撤銷其子女的探視權,

於是向社署或子女的學校作出查閱資料要求以

取得其子女的個人資料

(55)

• 投訴人女兒曾到某幼稚園進行入學面試

• 投訴人其後代表女兒,向該幼稚園提出查閱資料 要求,要求查閱女兒的面試評分報告

• 該幼稚園沒有向投訴人提供其要求的資料,投訴 人向公署作出投訴

個案分享 (6)

(56)

• 該幼稚園以一份指定表格記錄申請人的面試表現

• 公署介入後,該幼稚園

 向投訴人提供投訴人女兒的面試評估內容及結果

 制訂處理查閱資料要求的書面政策及指引

 加強員工有關處理查閱資料要求的培訓

個案分享 (6) 續

(57)

罪行

• 違反

保障資料原則

不構成罪行,惟私隱專員可發

執行通知要求資料使用者採取步驟糾正違規行為

• 不 遵 守 專 員 發 出 的

執 行 通 知

, 可 被 判 處 罰 款 50,000元及入獄兩年

• 遵從

執行通知

後,故意作出違反條例的作為或不 作為,屬犯罪:最高罰款$50,000,監禁2年,持續 罪行,每日罰款$1,000

• 重複違反執行通知:最高罰款$100,000,監禁2

(58)

• 根據條例第64條,任何人披露未經資料使用者同意而 取得的個人資料,

a) 意圖

1) 獲取金錢或財產得益,不論是為了令該人或另 一人受惠而獲取或

2) 或導致有關資料當事人蒙受金錢或財產損失;

或;

b) 該項披露導致該當事人蒙受心理傷害

• 即屬犯罪

• 一經定罪,最高罰款$1,000,000及監禁5年

罪行

(59)

• 是否涉及違反條例第64條,取決於案件中的所 有相關事實,不能一概而論。

• 典型例子:

- 僱員未得公司同意出售公司客戶的個人資料;

- 電腦維修員未經授權從顧客的電腦取得其親暱 照片並上載到互聯網,對該名人士造成心理傷

刑事罪行 - 違反條例第64條

(60)

補償

第 66B條

• 專員可考慮為受屈的當事人提供法律協助

提出民事訴訟以索取賠償

(61)

條例下的豁免(第8部)

條文 豁免情况 適用

第51A條 由法院、裁判官或司法人員在執行司法職能 的過程中持有的個人資料

所有保障 資料原則

第52條 由個人持有並只與其私人事務、家庭事務或 家居事務有關的個人資料;或只是為休閑目 的而如此持有的個人資料

所有保障 資料原則

第53條 – 第55條

與指定僱傭程序(例如升職)有關的個人資

保障資料 第 6 原則

第56條 由資料使用者持有並包含個人評介的個人資 保障資料

(62)

條例下的豁免(第8部)

條文 豁免情况 適用

第57條 由政府持有為保障香港的保安、防衛或國 際關係的目的的個人資料

保障資料第3及 第6原則

第58條 為防止罪行或嚴重不當行為等目的而持有 的個人資料

保障資料第3及 第6原則

第59條 關乎資料當事人的身體健康或精神健康、

身份或所在的個人資料

保障資料第3及 第6原則

第60條 法律專業保密權 保障資料第6原則 第61條 由從事新聞活動的資料使用者持有,或向

有關資料使用者披露資料是符合公眾利益

保障資料第3及 第6原則

第62條 用於統計或研究而所得成果不能識辨個人 保障資料第3原則

(63)

一所大學閉路電視片段截圖外洩事件

事件

• 該大學獲悉有人在民主牆張貼若干字句,收到各方的 查詢

• 該大學保安中心職員翻查校園的閉路電視片段,發現 有兩名男子張貼相關字句

• 用手提電話拍攝相關的兩張截圖,傳送到該大學管理 層人員組成的WhatsApp群組

個案分享 (7)

(64)

該大學表示傳閱截圖的目的如下 :

 找出若干字句是否由該大學的學生所張貼; 如是,

校方有必要盡快確定涉案人士的身份,以便對 有關學生進行輔導

 事件影響校譽,違反「學生行為守則」 調查 及考慮紀律處分

個案分享 (7) 續

(65)

• 安裝閉路電視監察系統的目的

當初目的: 保安理由

事發時目的: 採取紀律處分

個案分享 (7) 續

(66)

• 《私隱條例》的豁免

第58條:為調查及懲處嚴重不當行為

(並不限於罪案)的目的而使用的個人 資料受保障資料第3原則所管限

沒有違反保障資料第3原則的規定

個案分享 (7) 續

(67)

• 不過,公署認為該大學沒有採取所有合理地切實 可行保安措施去保障涉案人士的個人資料

違反了保障資料第4原則的規定

大學採取的補救措施:

在該群組訂明各人均須遵守保密原則

制定閉路電視監察政策及程序

為負責閉路電視系統的日常運作的職員制定詳

個案分享 (7) 續

(68)

當涉及收集個人資料時,應通知相關人士

影像及錄影在達致原來收集資料的目的後,應盡快被刪除

影像及錄影只可用於在收集資料時所述明的用途或與其直接有關 的用途

為防止影像及錄影遭未獲授權的查閱,必須採取保安措施 確保相關職員獲悉及依從所訂立的政策及指引

資料使用者應定期進行循規審查及覆核

使用拍攝裝置的建議

(69)

指引

(70)

直接促銷

(71)

直接促銷的規管機制

• 直接促銷的新規管機制於2013年4月 1日起正式生效

「直接促銷方法」指藉郵件、圖文傳 真、電子郵件或其他形式的傳訊,向 指名特定人士送交資訊或貨品;或以 特定人士為致電對象的電話通話

(72)

資料使用者

通知

資料當事人

同意

• 提供「訂明信息」及回應途 徑,讓資料當事人選擇同意 或表示「不反對」個人資料 被用作直銷

• 通知必須清楚易明

• 必須自願和清晰作出

• 不反對也屬同意

挪用客戶個人資料作 直銷用途或轉交他人

作直銷用途 提交個人資料

直接促銷(條例第6A部)

(73)

• 如當事人表示拒絕再接收有關 的直銷資料,資料使用者須在 不收費的情況下照辦

• 資料使用者如違反關於直接促

直接促銷的條文要求

(74)

保障兒童網上私隱

(75)

障兒童 網上私隱三步曲

(76)

障兒童 網上私隱 – 給校方的建議

第1步:積極參與

 親身體驗

 參與兒童的網上活動

 了解家長的操控措施 第2步:還原基本步

 私隱保障由自助保安開始

 慎留數碼腳印

 檢查預設設定

 網上世界無私隱

 教導兒童尊重別人私隱

(77)

學生網上私隱 – 給校方的建議

網上科技的實際情況

• 教導兒童受到網絡欺凌,應向家長及老師尋求意見

網絡欺凌

• 教導兒童思量網上眾多「免費」服務,很多時是以 他們的個人資料作交換,最終可能得不償失

免費服務的代價

網上身份不是真實 • 應提醒兒童網上世界是虛擬的,不等同現實世界

• 網上通訊可能會為人身安全帶來危機/造成財物損失

(78)

• 「兒童網上私隱 — 給家長及老師的建議」

• 「在網絡世界保障私隱-精明使用社交網」

• 「保障私隱-明智使用智能電話」

• 「網絡欺凌你要知!」

• 「明智使用電腦及互聯網」

相關刊物

https://www.pcpd.org.hk//tc_chi/resourc es_centre/publications/files/guidance_chil dren_c.pdf

(79)

兒童私隱專頁

https://www.pcpd.org.hk/childrenprivacy/

(80)
(81)

科技發展

(82)

私隱管理系統

保障、尊重個人資料

管理層推動尊重私隱

採取措施保障私隱

實行私隱管理系統

貫徹私隱的設計(Privacy by Design) 及 預設私隱模式 (Privacy by Default)

(83)
(84)
(85)
(86)
(87)

三大資料 管理價值

尊重

- 個人控制權- 具透明度

互惠

- 識別並評估持份者的

風險及利益 - 降低風險

公平

- 避免偏見和歧視

新概念:數據道德

(88)

實用工具

兩個評估模式

道德數據影響 評估模式

流程監督模式

評估數據處理 活動對所有持

份者的影響

評估機構的數 據管理

(89)

下載公署刊物

(90)
(91)

香港個人資料私隱專員公署

 查詢熱線 - 2827 2827

 傳真 - 2877 7026

 網址 - www.pcpd.org.hk

 電郵 - enquiry@pcpd.org.hk

 地址 - 香港灣仔

皇后大道東248號

參考文獻

相關文件

本彙集輯錄了多篇學校經驗分享的文章,闡述「管理與組織」範疇的各項全校 參與訓育及輔導工作模式的重點,請參閱教統局網頁,索引: 本局向學生及家 長提供的服務 >

此外,由 2014/15 學年開始,所有獲提供校本津貼學校 的酌情名額由 10%增加至

▸ 學校在收集學生的個人資料前,必須徵得學生的同意,並向所

教育局課程發展處製作了一系列網上教學資源供教師參考,鼓勵

背景:一名小學生家長投訴學校在沒有通 知家長的情況下,向網絡程式供應商提供

• 在「心房」進行課堂或體驗 式學習活動後,學生能以表 情符號表達自己的情緒,令 學生能以多元化的途徑表達 情緒,以便老師深入了解學

學校收到有非華語幼兒的在家進 行這個活動的片段分享。學校適 時提供個別支援,從中以多範疇

創校時期 社區背景 宗教背景 班級人數 學業水平 學生紀律 老師教齡 老師質素 老師參與 家長參與 家長照顧 社經地位.  學校強弱機危分析