陈美仪， 黎智敏

整理： 袁 烨3

香港个人资料私隐专员公署:社交媒体与个人资料私隐保障

陈美仪1， 黎智敏2

整理： 袁 烨3

在社交媒体时代，保障数据安全越来越凸显其重要性。作为独立的法定监管机构，香港个人资料私隐专员公署从建立之日起，就致力于保障香港市民的隐私数据安全。1996年，公署出台的个人资料隐私保护条例正式生效，成为亚洲第一份完整的个人资料保障法。条例确定了六项数据保障原则，并规定了公署的监管范围。本文介绍了公署的工作内容和程序，并借助案例阐述了社交媒体对公署日常业务的影响，包括对监管合规、投诉、查询以及公共关系和教育等的作用。

香港私隐专员公署；个人数据保障；个人隐私保障法；社交媒体

DOI 10.16602/j.gmj.20170005

香港个人资料私隐专员公署于1996 年8月1日成立，作为一个独立的法定规管机构开展工作。公署出台了个人资料隐私保护条例，旨在保护个人资料方面的隐私数据和隐私信息。条例于1996 年 12 月 20 日生效，规定了各机构的资料使用者在对个人资料的搜集、使用、保留、保障和查阅方面的相关政策，涵盖公营和私营机构。比如，如何在获取数据之后处理数据，以及如何处理公共信息。出台这一条例的目的是强化执法监察及监管，同时推广公众教育，提高公众的隐私意识，保证个人隐私的安全。实际上，香港是亚洲第一个拥有完整的个人资料保障法的地区。此后，很多亚洲国家和地区都模仿香港的做法出台了自己的个人保障法。

一、 六项数据保障原则

我们的任务是保障私人信息，主要指包含个人资料的个人信息。我们规定，个人资料的确认需要符合以下三项基本条件：该资料直接或间接与当事人相关；从该资料直接或间接确定相关当事人的身份是切实可行的；资料的存在形式是可查阅可处理的。个人资料在日常生活中的例子包括姓名、地址、性别、年龄和个人电话号码等。

所有使用个人资料的人士(资料使用者)必须遵守条例中设定的六项保障资料的核心原则。不管是政府组织还是个人，都需要遵循这六项原则。它们涵盖了个人资料由收集、保存、使用直到销毁的整个生命周期，包括：

1. 收集资料的目的和方式。收集个人资料时，当事人应该了解该资料的使用目的和资料转移对象的类别。收集的个人资料应该是必要的，不能过度收集。

2. 保证个人资料的精确和适当保留。资料使用者应当确保个人资料是正确无误的，达到收集资料的必要目的后就不再保留。

3. 使用。资料使用的目的应当与资料收集的目的直接或间接相关。除非当事人明确同意，资料不能另作他用。

4. 安全。资料使用者应当采取安全措施，保障个人资料的安全，防止未经授权的访问、处理、销毁、丢失或使用。

5. 透明度。资料使用者应当公开有关个人资料的政策和惯例做法，包括其所管理的个人资料类别、资料的使用方式等。

6. 数据访问和修正。当事人有权要求访问并修正其个人数据。

如果资料使用者违反了这六项保障原则中的任意一项，隐私署有权发布强制执行通知。这六项保障原则适用于所有香港居民，但也有例外情况。例如，为家居或消闲目的而持有的个人资料可以获豁免，不受六项保障资料原则监管。另外，如果资料与国家安防和国际关系、防止或侦查罪行、评估或征收税项、新闻活动、健康、法律程序等有关，相关资料也可获豁免。

二、 公署的工作程序

香港有732万人，其中有575万人是活跃的互联网用户，占总人口的79%。在这大约600万的互联网用户中，又有480万是活跃的社交媒体用户。在这些移动服务使用者中，平均每人有1.78个移动装置。如一个房子里有五个人，有五台笔记本电脑，两个平板电脑和6部手机。一个人既有平板电脑又有手机又有笔记本电脑，这种情况在香港是非常普遍的。香港常用的社交媒体有脸书(Facebook)和微信，内地则为微信和新浪微博。香港使用英语的程度也很高，社交媒体在香港被普遍使用。

社交媒体强化了我们和其他人的联系，让我们与客户、朋友和世界上其他国家的人有了更紧密的关系。由于社交媒体可以实现即时通信，因此透明度有所增加，信息流通的速度也得以大幅度提升。社交媒体对于市场营销的影响也是巨大的，对于各级领导团队来说，市场营销就是用媒体作为推销的工具。另外，社交媒体也会造成个人信息泄露、网络欺诈、网络欺凌，以及身份被盗用。我们保护所每年收到的241个投诉中，大部分都与社交媒体有关，其中关于个人信息泄露和网络欺凌的投诉占了大多数。

收到投诉后，我们首先会对投诉进行筛选，看看它们是否符合保护条例的适用范围。如果在受理范围之内，我们就会进行调解和调停。通常来说，大部分争端是通过调停解决的。例如，通过顾问告知数据使用者，哪些做法是错误或违法的。调停成功的话，就能达到双赢的结果。如果调停不起作用，那么这一案件可能涉及重大社会利益，我们就会开展正式调查。如果调查结果显示，使用者违反了相关条例，我们会进行惩罚。无违反条例，我们就会发出警告，并提供一些指导，防止未来再次出现类似情况。如果该使用者不执行法律指令，我们就会邀请警察或者其他执法人员进行强制执法。

处理投诉的时候，我们有哪些可以行使的权利呢？首先，我们有专员进行调查。也即是说，我们有权约谈数据使用者，也有权进入机构系统调查该数据使用者的数据使用情况。一旦发现有违反法令的情况存在，专员会向违规的资料使用者送达执行通知。如果我们认为该案件与公共利益有关，就会有专员撰写报告，发表调查结果、提出建议及作出专员认为合适的评论。

三、 投诉的适用范围

由个人持有并只为家居或消闲目的而持有的个人资料，可以豁免不受六项保障资料原则监管。例如，有人持有亲友的住址信息，目的是向这些人寄圣诞卡，这就是出于家庭目的而使用数据，因此不适用于保护条例。但在另一种情况中，影迷会持有会员联络资源，目的是举办活动支持偶像，这就不属于家庭或消闲的使用目的，因而属于保护条例的监管范围。

这里有一个具有普遍性的案例供大家参考：由于女友出轨，分手后男生想报复前女友，就把女孩的个人信息公布在网上，如她的私密照片、家庭背景等。由于前男友是以私人身份获得女孩的个人身份信息，这是出于私人目的获取的数据，不在保护条例的适用范围内。所以当女孩找到我们寻求帮助时，我们只能对她说，对不起，我们无法帮你。

投诉必须满足特定条件我们才能受理，如投诉必须针对具体的数据使用者。数据使用者是指控制个人资料的搜集、持有、处理或使用的人。比如，有些人对搜索引擎谷歌或雅虎公司提出控告。由于搜索引擎不是出于对个人身份的关心，而是自动在网上搜索到了相关信息，因此我们不认为它是一个隐私资料的使用者，在这种情况下我们是不受理案件的。根据法律，投诉人必须能够指明被投诉者的具体身份，如其真实姓名、联络方式，以便我们联系这个人。通过网站或电子邮件地址登录的名字通常是一些假名，我们不可能通过这些名字追踪到人。对于那些诬蔑别人或者发动人身攻击的组织，他们可能会有人肉搜索或在网上发照片的行为。在这种情况下，如果受害者来我们这里报案，他就必须能够指出是谁攻击了他。必须公布被投诉者的身份资料，我们才能受理案件。

此外，保护条例没有域外法律效力，只适用于香港。只有当数据是在香港的辖区内被使用，而且案件是在香港发生的，我们才能受理案件。例如，一个人在台湾商店购物，之后他在脸书上发现这家商店把自己的个人信息公布到了网上，包括他的姓名、所购物品等。当他向公署投诉时，我们也只能告诉他，对不起，由于你的个人信息是在香港以外的地区被搜集，而我们对香港境外的地方没有管辖权，所以无法受理案件。这种时候，我们总是面临一个两难的境地，因为在香港之外我们没有影响力。

另一个案例是，某女警员遭到一位网民的人肉搜索，该网民在论坛上面发布了一些威胁该警员的言论。由于事关这位警察的人身安全，比披露个人资料的性质更加严重，公署就采取了一些行动。我们联系了论坛讨论区的负责人以及互联网的服务供应商，成功追查到涉案网民的身份，立即要求其停止行动，并书面承诺日后不再做出类似行为。这种情况比前男友公布隐私信息要严重得多，因此我们可以介入。

四、 公司与社交媒体的联系

在社交媒体被广泛使用的今天，利用社交媒体开展市场营销是非常普遍的事情。具体包括：直接利用社交媒体上的联络资源进行推销；通过用户推荐提升声誉；对顾客在社交媒体上的行为和潜在行为进行分析，以此掌握顾客的背景；利用社交媒体进行推广，如抽奖、摄影分享以及投票。

香港使用脸书和谷歌的人很多。当你在脸书或谷歌上创建账户时，需要输入自己的个人信息，包括名字、电子邮件和电话号码等。脸书和谷歌公司希望直接利用这些信息进行市场营销，但是它们的行为必须符合相关的法律、法规，而且必须在获得信息拥有者的同意后才可以这样做。除了市场营销，公司利用社交媒体也意在拉近与顾客的关系，如顾客利用社交媒体查询产品服务、售后服务等。鉴于社交媒体本身的特性，公司应该提醒客户不要在网络平台上公布自己的敏感信息。公司也应当提供法律、法规来保障顾客的数据安全。

除了在市场营销和保护客户关系方面的应用，很多社交媒体也被应用到了人力资源管理上，比如建立雇主的形象品牌，或在招聘过程中搜集资料以及筛选申请人。社交媒体还可以用来监督职员的态度。例如很多公司老板通过社交媒体来监督职位申请人的活动，将申请人的社交媒体活动数据作为筛选条件之一，比如看看该申请人公布了哪些信息，他的朋友圈是什么样的，他的家人是什么样的。公司在选择职位申请人的时候，会通过考察社交媒体上的活动信息作为衡量申请人是否能积极工作的标准。公司还可以通过社交媒体监督雇员对于机构的态度，例如是否在社交媒体上公布公司机密。

五、 隐私保障的工作原则

总体而言，保障个人隐私资料有四大原则：

第一是适度(Appropriateness)，搜集的个人资料类别和用途是否相关及相称。

第二是透明度(Transparency)，组织机构是否提供了个人资料的搜集声明，是否提供数据保护政策的声明。

第三是尊重个人权利(Respect of Individual Rights)，用户对自己的选择权利是否非常清楚，用户是否有拒绝参与的选择。

第四是保护(Protection)，组织机构是否能采取合理且切实可行的步骤来保护个人资料。在监察以及监管合规上，专员的职能包括根据相关条例进行监察和监管。合规部的职能包括接受资料外泄事故通报，及适当跟进资料外泄事故；对资料使用者进行循规审查及调查，看看他们是否有违规的情况，比如是否曾造成资料外泄。

与新加坡、澳大利亚和欧盟不同，香港的资料外泄事故不受法律强制监管。相关组织机构可以自行决定是否配合政府调查，是否给政府提供相关数据。2016年，我们总共有104起资料外泄事故，影响人数达85万多。常见的资料外泄事故类型包括遗失文件或便携式装置(如U盘或笔记本电脑)，信息科技系统遭黑客、恶意软件攻击，邮件或电邮出错，员工不遵守指令等。在这些常见事故中，最为普遍的是员工没有遵循保密协议。

我给大家介绍一些真实案例。某银行的一名员工在瓦次普(WhatsApp)即时通信软件上设置客户群组，把自己的季度业绩表发给了79名客户，以致79名客户的电话号码、用户名称及图像于群组内被公开。这起事故的原因是，该员工没有遵循银行不得使用实时通信服务软件作公务的规定。事故之后，银行首先处分了这名员工，然后向所有员工重申相关政策和这些政策的重要性。

另一起事故是某网络社交平台的数据库遭黑客攻击，约330万名会员的资料被泄露。经过调查，我们发现该平台的防火墙设定有问题，于是就采取了补救措施：更正防火墙的设定，限制数据库的存取权，增强该平台的保密效果。

六、 提升公众的隐私保护意识

随着公众对于保障个人数据安全的要求提高，我们认为，组织机构应该把数据安全的保障级别从合规提升到问责，以推动机构将提升资料保障能力作为良好管制的必要一步，而且这种提升应该是自上而下的。

除了采取法律手段，公署也开展对外联系和推广，辅以教育和宣传，帮助改善我们与业界的关系。我们经常与不同机构进行对话，就如何保障个人信息进行讨论，听取他们的宝贵意见。现在，个人信息的保护已经成为全球性问题，因此我们也与海外的个人信息保护组织进行合作。目前，香港是亚太区隐私机构的成员，我们也加入了亚太经合组织电子商务督促小组，成为继加拿大、以色列、美国和英国之后的第五个成员。对于公众来说，通过组织公众教育活动如讲座、比赛和展览，拍摄电视宣传片等，公署能够提升市民在数据保护方面的意识，帮助他们理解个人信息保护的重要性。

今年我们拍摄了一部教育短片，叫作“隐私神探”。这是一个系列小短片，目的就是提醒公众上网要审慎。除了以上种种措施，我们也出版了很多刊物，包括指引资料、小册子以及海报等。所有这些资料都可以在公署网站(https://www.pcpd.org.hk/)上找到。

(编辑：戴 佳)

Privacy Commissioner for Personal Data, Hong Kong: Social Media and Personal Data Privacy Protection

Amy Chan, Joyce Lai

(Privacy Commissioner for Personal Data, Hong Kong)

Protection of personal data is becoming increasingly important in the social media era. As an independent statutory regulatory body, the Privacy Commissioner for Personal Data of Hong Kong aims to safeguard the privacy of individuals in relation to personal data. The Personal Data (Privacy) Ordinance, introduced by the Commission, came into effect on 20 December 1996, making it the first of its kind in Asia. The Ordinance established six data protection principles, and stipulated the Commission’s sphere of validity. The article explains work procedures of the Commission, and uses specific cases to illustrate the impact of social media on the body’s operation, including enforcement, monitoring and supervising compliance, and promotion and public education.

Privacy Commissioner for Personal Data of Hong Kong; personal data protection; Personal Data (Privacy) Ordinance; social media

1. 陈美仪:香港个人资料私隐专员公署投诉及查询部总监。

2. 黎智敏:香港个人资料私隐专员公署合规部总监。

3. 袁烨:清华大学新闻与传播学院硕士研究生。