社區發展動力培育對《個人資料（私隱）條例》諮詢文件的回應

隨著監警會投訴個案資料外洩，以至八達通將「日日賞」會員資料轉移到保險公司作傳銷之用，這些個案均足以顯示現有的私隱條例存在漏洞。雖然政府有關諮詢文件列出多項修訂，但CDI認為仍有不足之處。現將部份重點闡釋如下︰

首先，對於個人資料外洩通報機制，諮詢文件只建議資料持有人自願參與這個機制。換言之，當企業發現所持有的個人資料一旦外洩，企業仍可以選擇是否向外公佈，或告知當事人。我們認為這個通報機制應該強制執行，因為受害人應有知情權。只有透過強制執行有關機制，受害人才能知道自己的個人資料被外洩。同時，這個機制也可以令企業、即資料使用者不斷警剔自己，不得透過任何途徑隨便將個人資料流出，否則要自行承擔後果。事實上，諮詢文件也指出，現時美國多個州份和歐洲議會已訂立強制性通報機制，只有這樣，才能有效地評估因個人資料外洩而帶來的實質影響。如果這個機制能夠先在政府及公營部門優先實行，這個牽頭作用將可給予私營機構仿效。

其次，諮詢文件亦建議法例可以參照平等機會委員會的模式，授權私隱專員為有意根據《私隱條例》第66條向資料使用者提出法律訴訟以申索補償的受屈資料當事人提供法律協助。在接納這項建議之前，我們懇請各委員先了解一下平機會在這方面的數據。根據平機會所公佈的數字，該會於2009年共接獲20,852個查詢，其中有1,230個是經處理的投訴，而當中要求提出法律協助申請的只得68個，最後給予協助的更只得31個，佔經處理投訴個案百分之二點五。那麼沒有提出或提出而不獲批法律協助的個案怎樣處理，一是和解，二是不了了之。如果這種模式應用在私隱專員公署上，真的可以幫助受害人討回公道嗎?

再者，對於把披露在未經資料使用者同意下取得的個人資料以從中取利或作惡意用途的行為訂為罪行的建議，當中把「罪行」界定為「目的在於使其本人或他人獲益、或意圖導致他人蒙受損失，包括對感情的傷害」，當中所謂「感情傷害」的定義非常模糊，究竟當事人受到怎樣程度的「感情傷害」，披露者才算觸犯刑事罪行?我們試舉兩例說明之。受害人告知專員他的損失是失去朋友、精神受到困擾並需要接受心理治療，出示多張覆診証明，這就足以令被告入罪，還是受害人表示他哭了一整個晚上，專員見他眼都紅了，就可以令被告入罪?既然定義未能明確界定，就將此列為刑事罪行，是否過於愴悴?

以上是本會對修訂私隱條例的主要意見，本會認為法例的精神當然以保障個人資料當事人的利益為先﹔但與此同事，法例亦應同時為資料持有人或使用者提供明確條文，指出怎樣才算違法，好讓他們有法依從。