附錄1 —— 《個人資料(私隱)條例》的釋義、原則及主要條文 "資料" (data) 指在任何文件中資訊的任何陳述(包括意見表達)， 並包括個人身分標識符； "查閱資料要求" (data access request) 指根據第18 條提出的要求； "改正資料要求" (data correction request) 指根據第22(1)條提出的要求； "文件" (document)除包括書面文件外，包括 (a) 包含視覺影像以外的資料的紀錄碟、紀錄帶或其他器件， 而所包含的資料能夠在有或沒有其他設備的輔助下， 從該紀錄碟、紀錄帶或器件重現；及 (b) 包含視覺影像的膠卷、紀錄帶或其他器件， 而所包含的影像能夠在有或沒有其他設備的輔助下， 從該膠卷、紀錄帶或器件重現； 個人資料(私隱)條例

(b) 由個人親自進行某工作或勞動的合約，而相關詞句均須據此解釋； "僱用" (employment) 指在以下合約下的僱用 (a) 僱傭合約或學徒訓練合約；或 (b) 由個人親自進行某工作或勞動的合約，而相關詞句均須據此解釋； "個人資料" (personal data) 指符合以下說明的任何資料 (a) 直接或間接與一名在世的個人有關的； (b) 從該等資料直接或間接地確定有關的個人身分是切實可行的；及 (c) 該等資料的存在形式，令予以查閱及處理均是切實可行的； "個人身分標識符" (personal identifier)指 (a) 由資料使用者，為其作業而編配予一名個人；及 (b) 就該資料使用者而言，能識辨該名個人身分而不虞混淆的標識符， 但用以識辨該名個人的該人的姓名，則不包括在內； "使用" (use) 就個人資料而言，包括披露或移轉該等資料。 個人資料(私隱)條例

保障資料原則 第1原則——收集個人資料的目的及方式 (1) 除非 (a) 個人資料，是為了直接(將會)使用該等資料,的資料使用者 的職能(或活動)有關的合法目的而收集； (b) 在符合(c)段的規定下，資料的收集 對該目的,是必需的,或直接與該目的有關的；及 (c) 就該目的而言，資料屬足夠但不超乎適度， 否則不得收集資料。 (2) 個人資料須以 (a) 合法；及 (b) 在有關個案的所有情況下屬公平， 的方法收集。 個人資料(私隱)條例

(3) 凡從(或將會從)某人收集個人資料，而該人是資料當事人， 須採取所有切實可行的步驟，以確保 (a) 他在收集該等資料之時(或之前)，以明確(或暗喻)方式而獲告知 (i) 他有責任提供該等資料，或是可自願提供該等資料；及 (ii) (如他有責任提供該等資料) 他若不提供該等資料便會承受的後果；及 (b) 他 (i) 在該等資料被收集之時(或之前)，獲明確告知 (A) 該等資料將會用於甚麼目的 (一般地或具體地) ；及 (B) 該等資料可能移轉予甚麼類別的人；及 (ii) 在該等資料首次用於它們被收集的目的之時(或之前)，獲明確告知 (A) 他要求查閱該等資料及要求改正該等資料的權利； (B) 該等要求可向誰提出 (姓名及地址)， 但在以下情況屬例外： 該等資料是為了在本條例第 VIII 部中指明 為個人資料就其而獲豁免，而不受第6 保障資料原則的條文 所管限的目的而收集，而遵守本款條文相當可能會損害該目的。 個人資料(私隱)條例

(a) 確保在顧及有關的個人資料，被使用於或會被使用於的目的 (包括任何直接有關的目的)下，該等個人資料是準確的； 第2原則——個人資料的準確性及保留期間 (1) 須採取所有切實可行的步驟，以 (a) 確保在顧及有關的個人資料，被使用於或會被使用於的目的 (包括任何直接有關的目的)下，該等個人資料是準確的； (b) 若有合理理由相信在顧及有關的個人資料被使用於或會被使用於的目的 (包括任何直接有關的目的)下，該等個人資料是不準確時，確保 (i) 除非該等理由不再適用於該等資料 (不論是藉著更正該等資料或其他方式） 及在此之前，該等資料不得使用於該目的；或 (ii) 該等資料被刪除； (c) 在於有關個案的整體情況下知悉以下事項屬切實可行時 (i) 在指定日當日或之後向第三者披露的個人資料， 在顧及該等資料被使用於或會被使用於的目的 (包括任何直接有關的目的)下，在要項上是不準確的；及 (ii) 該等資料在如此披露時是不準確的，確保第三者 (A) 獲告知該等資料是不準確的；及 (B) 獲提供所需詳情﹐以令他能在顧及該目的下更正該等資料。 (2) 個人資料的保存時間，不得超過將其保存以貫徹該等資料 被使用於或會被使用於的目的(包括任何直接有關的目的)所需的時間。 個人資料(私隱)條例

如無有關的資料當事人的訂明同意，個人資料不得用於下列目的以外的目的 (a) 在收集該等資料時會將其使用於的目的；或 第3原則個人資料的使用 如無有關的資料當事人的訂明同意，個人資料不得用於下列目的以外的目的 (a) 在收集該等資料時會將其使用於的目的；或 (b) 直接與(a)段所提述的目的有關的目的。 第4原則──個人資料的保安 須採取所有切實可行的步驟，以確保由資料使用者持有的個人資料 (包括採用不能切實可行地予以查閱或處理的形式的資料) 受保障而不受未獲准許的或意外的查閱、處理、刪除或其他使用所影響， 尤其須考慮 (a) 該等資料的種類及如該等事情發生便能造成的損害； (b) 儲存該等資料的地點； (c) 儲存該等資料的設備所包含 (不論是藉自動化方法或其他方法)的保安措施； (d) 為確保能查閱該等資料的人的良好操守、審慎態度及辦事能力 而採取的措施；及 (e) 為確保在保安良好的情況下傳送該等資料而採取的措施。 個人資料(私隱)條例

(a) 能確定資料使用者在個人資料方面的政策及實務； (b) 能獲告知資料使用者所持有的個人資料的種類； 第5原則──資訊須在一般情況下可提供 須採取所有切實可行的步驟，以確保任何人 (a) 能確定資料使用者在個人資料方面的政策及實務； (b) 能獲告知資料使用者所持有的個人資料的種類； (c) 能獲告知資料使用者持有的個人資料 是為或將會為甚麼主要目的而使用的。 第6原則──查閱個人資料 資料當事人有權 (a) 確定資料使用者是否持有他屬其資料當事人的個人資料； (b) 要求 (i) 在合理時間內查閱； (ii) 在支付並非超乎適度的費用(如有的話)下查閱； (iii) 以合理方式查閱；及 (iv) 查閱採用清楚易明的形式的個人資料； (c) 在(b)段所提述的要求被拒絕時獲提供理由； (d) 反對(c)段所提述的拒絕； (e) 要求改正個人資料； (f) 在(e)段所提述的要求被拒絕時獲提供理由；及 (g) 反對(f)段所提述的拒絕。 個人資料(私隱)條例

(3) 凡根據本條例任何作為可經某人(不論如何描述該人)的訂明同意而作出，該同意 (a) 指該人自願給予的明示同意； 本守則草擬本所提及的主要條文 2 釋義 (3) 凡根據本條例任何作為可經某人(不論如何描述該人)的訂明同意而作出，該同意 (a) 指該人自願給予的明示同意； (b) 不包括已藉向獲給予同意的人送達書面通知而予以撤回的任何同意 (但不損害在該通知送達前的任何時間依據該同意所作出的所有作為)。 18 查閱資料要求 (1) 任何個人或代表一名個人的有關人士可提出內容如下的要求 (a) 要求資料使用者告知他 該使用者是否持有該名個人屬其資料當事人的個人資料； (b) 如該資料使用者持有該等資料，要求該使用者提供一份該等資料的複本。 (2) 在第(1)款(a)及(b)段下的查閱資料要求， 須視為單一項要求，而本條例的條文須據此解釋。 個人資料(私隱)條例

(3) 在沒有相反證據的情況下，第(1)款(a)段下的查閱資料要求 須視為該款(a)及(b)段下的查閱資料要求， 而本條例的條文(包括第(2)款)須據此解釋。 (4) 就某些個人資料而言，如某資料使用者 (a) 不是持有該等資料的；但 (b) 控制該等資料的使用，而控制的方式 禁止實際持有該等資料的另一資料使用者依從 (不論是完全依從或部份依從)關乎該等資料的查閱資料要求， 則他須當作持有該等資料，而本條例的條文(包括本條)須據此解釋。 個人資料(私隱)條例

20 資料使用者須在或可在何種情況下拒絕依從查閱資料要求 (1) 在以下情況，資料使用者須拒絕依從查閱資料要求 (a) 該資料使用者不獲提供他合理地要求 (i) 以令他信納提出要求者的身分的資訊； (ii) (如提出要求者看來是就另一名個人而屬有關人士)以令他 (A) 信納該另一名個人的身分；及 (B) 信納提出要求者確是就該另一名個人 而屬有關人士的資訊； (b) (在符合第 (2) 款的規定下)該資料使用者，不能在不披露另一名個人 屬其資料當事人的個人資料的情況下依從該要求； 但如該資料使用者，信納該另一名個人， 已同意向該提出要求者披露該等資料，則屬例外；或 (c) (在其他情況下)在當其時，依從該要求根據本條例是被禁止的。 個人資料(私隱)條例

(a) 令該款提述另一名個人屬其資料當事人的個人資料之處， 包括提述識辨該名個人為有關的查閱資料要求 所關乎的個人資料的來源的資訊 (2) 第(1)(b)款的施行不得 (a) 令該款提述另一名個人屬其資料當事人的個人資料之處， 包括提述識辨該名個人為有關的查閱資料要求 所關乎的個人資料的來源的資訊 (但如該名個人，在該等資訊被點名，或該等資訊， 以其他方式，明確識辨該名個人的身分則除外)； (b) 令資料使用者無須在不披露該另一名個人的身分 (不論是藉著略去姓名或其 他能識辨身分的詳情或以其他方法)的情況下， 在有關的查閱資料要求是可 予依從的範圍內依從該項要求。 22 改正資料要求 (1) 在不抵觸第(2)款的條文下，如 (a) 資料使用者已依從查閱資料要求而提供個人資料的複本；及 (b) 屬有關的資料當事人的個人，或代表該名個人的有關人士， 認為該等資料不準確， 則該名個人或有關人士(視屬何情況而定) 可提出要該資料使用者，對該等資料作出所需的改正的要求。 個人資料(私隱)條例

(d) 任何人所作的不合法或嚴重不當的行為、 或不誠實的行為或舞弊行為的防止、排除或糾正(包括懲處)； (e) 防止或排除因 58 罪行等 (1) 為 (a) 罪行的防止或偵測； (b) 犯罪者的拘捕、檢控或拘留： (c) 任何稅項的評定或收取； (d) 任何人所作的不合法或嚴重不當的行為、 或不誠實的行為或舞弊行為的防止、排除或糾正(包括懲處)； (e) 防止或排除因 (i) 任何人輕率的業務經營手法或活動；或 (ii) 任何人所作的不合法或嚴重不當的行為、 或不誠實的行為或舞弊行為， 而引致的重大經濟損失； (f) 確定有關的資料當事人的品格或活動， 是否相當可能對以下事情有重大不利影響 (i) 由該資料使用者執行法定職能所關乎的事情；或 (ii) 與本段憑藉第(3)款而適用的職能的執行有關的事情；或 (g) 本段憑藉第(3)款而適的職能的執行， 而持有的個人資料，在以下情況獲豁免而不受第6 保障資料原則 及第18(1)(b)條的條文所管限 該等條文適用於該等資料 (i) 便相當可能會損害本款所提述的任何事宜；或 (ii) 便相當可能直接或間接識辨屬該等資料來源的人的身分。 個人資料(私隱)條例

(a) 個人資料是為第(1)款所提述的目的而使用 (不論該等資料是否為該等目的而持有)；及 (b) 第3 保障資料原則的條文就該等使用而適用 (2) 凡 (a) 個人資料是為第(1)款所提述的目的而使用 (不論該等資料是否為該等目的而持有)；及 (b) 第3 保障資料原則的條文就該等使用而適用 便相當可能會損害該款所提述的任何事宜， 則該等資料獲豁免而不受第3 保障資料原則的條文所管限， 而在為任何人違反任何該等條文而針對他進行的法律程序中， 如該人證明他當時有合理理由相信，不如此使用該資料 便相當可能會損害任何該等事宜，即為免責辯護。 http://www.pcpd.org.hk/chinese/ordinance/ordglance.html http://www.pcpd.org.hk/chinese/ordinance/files/app_c.pdf http://www.pcpd.org.hk/chinese/casenotes/case_complaint.php 個人資料(私隱)條例

文字記錄、在世人士、資料足夠辨認有關人士 原則1 收集資料的目的及方式 (合法、公平) 訂明須以合法及公平的方式收集個人資料， 個人資料私隱專員公署：保障資料原則 文字記錄、在世人士、資料足夠辨認有關人士 原則1 收集資料的目的及方式 (合法、公平) 訂明須以合法及公平的方式收集個人資料， 以及列明資料使用者在向資料當事人收集個人資料時， 應向該當事人提供的資料。 原則2 個人資料的準確性及保留期間 訂明所保存的個人資料必須是準確和最新的資料， 而保存期間不得超過實際需要。 原則3 個人資料的使用 訂明除非獲得資料當事人同意，否則個人資料 只可用於在收集資料時所述明的用途或與其直接有關的用途。 原則4 個人資料的保安 訂明須採取適當保安措施保障個人資料 ﹝包括其存在形式令查閱或處理並非切實可行的資料﹞。 原則5 資訊須在一般情況下可提供 (私隱原則/聲明/政策) 訂明資料使用者須公開所持有的個人資料類別， 以及該等個人資料所作的主要用途。 原則6 查閱個人資料 訂明資料當事人有權查閱及改正其個人資料。 個人資料(私隱)條例

本條例訂明特定的豁免事項，使某些個人資料免受本條例的管限。其中包括： ‧ 訂定概括性豁免，使為家居用途或消閒目的 而持有的個人資料可獲豁免， ‧ 訂定概括性豁免，使為家居用途或消閒目的 而持有的個人資料可獲豁免， 無需受本條例的條文所管限； ‧ 訂定豁免，使某些與僱傭有關的個人資料， 可免受當事人查閱規定所管限；及 ‧ 訂定豁免，使在引用條例中關於當事人查閱要求及限制資料用途的規定時， 如私隱權益可能對公眾或社會利益構成損害，則無需受有關規定所管限。 這些利益包括保安、防衛及國際關係、罪案的防止或偵查、評稅或收稅， 以及新聞活動及健康方面的利益。 罪行及補償 條例訂明各項罪行，例如不遵守私隱專員發出的執行通知， 可被處第5級罰款(目前是25,001元至50,000元)及監禁2年。 條例亦訂明，任何個人如因資料使用者違反條例的規定而蒙受損害， 包括感情的傷害，則有權向有關資料使用者要求補償。 個人資料(私隱)條例

The Privacy Commissioner's Office (PCO): Data Protection Principles Principle 1 Purpose and manner of collection. This provides for the lawful and fair collection of personal data and sets out the information a data user must give to a data subject when collecting personal data from that subject. Principle 2 Accuracy and duration of retention. This provides that personal data should be accurate, up-to-date and kept no longer than necessary. Principle 3 Use of personal data. This provides that unless the data subject gives consent otherwise personal data should be used for the purposes for which they were collected or a directly related purpose. Principle 4 Security of personal data. This requires appropriate security measures to be applied to personal data (including data in a form in which access to or processing of the data is not practicable). Principle 5 Information to be generally available. This provides for openness by data users about the kinds of personal data they hold and the main purposes for which personal data are used. Principle 6 Access to personal data. This provides for data subjects to have rights of access to and correction of their personal data. 個人資料(私隱)條例

Offences and Compensation Exemptions The Ordinance provides specific exemptions from the requirements of the Ordinance. They include: ‧ a broad exemption from the provisions of the Ordinance for personal data held for domestic or recreational purposes; ‧ exemptions from the requirements on subject access for certain employment related personal data; and ‧ exemptions from the subject access and use limitation requirements of the Ordinance where their application is likely to prejudice certain competing public or social interests, such as: security, defense and international relations; prevention or detection of crime; assessment or collection of any tax or duty; news activities; and health. Offences and Compensation There are a variety of offences, for example non-compliance with an enforcement notice served by the Privacy Commissioner carries a penalty of a fine at Level 5 (at present $25,001 to $50,000) and imprisonment for 2 years. An individual who suffers damage, including injured feeling, be reason of a contravention of the Ordinance in relation to his or her personal data may seek compensation from the data user concerned. 個人資料(私隱)條例