跨法域隐私政策起草问答（一）：香港篇 | 耀时数据原创

跨法域隐私政策起草问答（一）：香港篇 | 耀时数据原创

张晓宇 戴蔚 

当企业经营涉及个人信息处理活动时，确保隐私政策的合规性是保证企业个人信息处理合规的优先级要素；在跨境经营时，由于个人信息处理活动可能横跨多个法域，企业将面临跨法域隐私政策起草问题。

耀时所结合我们为客户起草隐私政策的经验，推出三期跨法域隐私政策起草问答，分别为“香港篇”、“新马篇”和“欧盟篇”，供有需要者使用。本篇为第一期“香港篇”。

问题一、香港隐私政策合规要求的法律法规依据？

香港隐私政策合规要求主要由《个人资料（私隐）条例》（PDPO）规定。PDPO于1995 年通过、1996年12月生效（某些条文除外）。2012 年，PDPO有一次重大修订，其中，最重要的是引入了“直接营销条款”和“其他额外保护”，以应对新的隐私挑战并解决公众担忧。2021 年，PDPO又经历了第二次重大修订，修订旨在打击侵犯个人数据私隐的“起底”行为（即“人肉搜索”），将“起底”行为定为刑事犯罪，并赋予个人数据私隐专员法定权力，可发出终止通知，要求停止或限制披露“起底”内容。

问题二、《个人资料（私隐）条例》（PDPO）由谁来监督执行？

个人资料私隐专员公署（PCPD）负责监督条例的实施，接受投诉并进行调查。

问题三、《个人资料（私隐）条例》（PDPO）有哪些关键定义？

个人数据，是指与在世个人有关并可用于识别该个人的、可访问或可处理的信息。

数据主体，是个人数据的主体。

数据使用者，是单独或者与其他人共同控制个人数据的收集、持有、处理或使用的人。

数据处理者，是代表他人（数据使用者）而非为自己处理个人数据的人。需要注意的是，数据处理者不受PDPO的直接监管。数据使用者需要通过合同或其他方式确保帮其处理数据的数据处理者符合《个人资料（私隐）条例》的适用要求。

问题四、《个人资料（私隐）条例》（PDPO）核心内容是什么？

PDPO附表1载有《保障资料原则》（简称“DPP”），这是PDPO的核心内容，它概述了数据使用者应如何收集、处理及使用个人数据的基本原则。

问题五、《保障资料原则》（DPP）的核心内容是什么？

DPP共6项内容，确立了数据收集目的和方式、准确性和保留持续时间、数据使用、数据安全、数据的开放性和透明度、查阅与更正等6方面内容。

● 数据收集目的及方式：数据使用者须为直接与其职能或活动有关的合法目的收集个人数据；收集的数据应对该目的是必须及足够的，但不应超出适度范围；收集的方法应合法和公平。

按照此要求，如果直接向数据主体收集个人数据，应告知数据主体以下事项：（1）是否必须提供数据；（2）收集数据的目的；（3）数据可能会被转移给哪类人士；（4）数据主体可要求查阅和改正自己的数据的权利及途径。

● 准确性及保留期间：要求数据使用者采取所有切实可行的步骤，确保持有的个人数据准确无误，并且保留时间不超过达到原来目的所需的时间。如果需聘用数据处理者处理个人数据，须采取合约规范或其他方法，确保数据处理者依从有关数据保留的要求。

● 数据的使用：除非得到数据主体自愿给予的明示同意，否则个人数据不得用于“新目的”，即原先收集数据时拟使用或相关的目的以外的目的。数据主体有权以书面通知撤回先前曾给予的同意。

● 个人数据的安全：要求数据使用者采取一切切实可行的步骤，保障个人数据不会未经授权或意外地被查阅、处理、删除、丧失或使用。数据使用者尤其须考虑数据的种类、上述情况一旦发生所造成的损害，并采取措施确保能查阅数据人士的良好操守、审慎程度及办事能力。如果聘用数据处理者处理个人数据，必须采取合约规范或其他方法，确保数据处理者依从上述的数据安全要求。

● 透明度：数据使用者须采取一切切实可行的步骤，确保任何人都能确定其在个人数据方面的政策及实务，并被告知数据使用者所持有的个人数据种类和使用的主要目的。

● 数据访问和更正：赋予数据主体要求查阅及改正自己个人数据的权利。若数据使用者拒绝数据主体提出的查阅或改正要求，便需提供理由。

问题六、根据《个人资料（私隐）条例》（PDPO），当事人享有哪些权利？

根据PDPO的DPP及其他具体条款，数据主体享有知情权（DPP3）、个人数据查阅权（DPP6）、被遗忘权（PDPO第26条）、反对直接促销权利（PDPO第6A部）、数据更正权（DPP6）等。

问题七、根据《个人资料（私隐）条例》（PDPO），何为直接促销？

根据PDPO 35A条规定，直接促销（direct marketing）意指透过直接促销方法：（1）要约提供货品、设施或服务，或为推广该等货品、设施或服务进行广告宣传；或（2）为慈善、文化、公益、康体、政治或其他目的索求捐赠或贡献。

直接促销方法（direct marketing means）包括：（1）通过邮件、图文传真、电子邮件或其他形式的通讯，向指明特定人士送交信息或货品；或（2）以特定人士为致电对象的电话通话。

问题八、数据使用者在使用数据主体的个人数据作直接促销或向第三方提供数据作直接促销前，需要履行什么义务？

数据使用者在使用数据主体的个人数据作直接促销或向第三方提供数据作直接促销前，须先取得数据主体知情的同意；这同意必须是由数据主体明确表示，可表示不反对，但沉默并不能构成同意。数据使用者亦需告知数据主体有权撤回同意。

数据使用者须向数据主体告知：（1）打算使用其个人数据作直接促销的意图；（2）如没有数据主体同意，数据使用者不能如此使用有关个人数据；（3）意图使用的个人数据类别；（4）意图就什么类别的促销目的使用有关数据；（5）提供一个无需向数据使用者支付费用的途径，以便数据主体可以传达其对使用个人数据的同意；（6）数据主体可随时要求数据使用者停止在直接促销中使用该当事人的个人数据。

问题九、数据使用者如果需要另外委托数据处理者对个人隐私数据进行处理，需要注意什么？

PDPO对数据使用者进行了各项规制，但并未对数据处理者进行直接监管，数据使用者须采用合同或其他方式来确保数据处理者的行为符合《个人资料（私隐）条例》的要求。

个人数据私隐专员公署在2012年9月发布的《外判个人资料的处理予资料处理者》资料单张中指出，可对数据处理者施加的合同义务类型包括 (i) 数据处理者不得使用或披露个人数据作数据使用者委托其处理的目的以外的任何目的；(ii) 数据处理者必须采取若干安全措施，以保护数据使用者委托其处理的个人数据；(iii) 处理者必须遵守保障数据原则；(iv)当不再需要个人数据作数据使用者委托的用途时，处理者必须退回或删除该数据；(v) 禁止或限制分包；及 (vi) 数据使用者享有审计及查阅的权利。隐私专员亦表示，可采用“其他方法”确保数据使用者遵从有关规定。【1】

【注释】

【1】数据合规 | 香港及大湾区数据保护与跨境传输合规实务解读

《外判个人资料的处理予资料处理者》资料单张

https://www.pcpd.org.hk/chinese/publications/files/dataprocessors_c.pdf

【本文作者】