香港个人资料( 私 隐 )条例

香港的个人信息保护专门的机构、温柔又公正的法律防线、隐藏但坚固的普通法盾牌，看似完美的个人信息保护组合在信息时代的今天，正在经历一次次考验个人信息在香港保护得好不好？这个问题很难回答。

因为一方面，香港有亚洲唯一的个人信息保护机构――香港私隐专员公署，也有专门的《个人资料（私隐）条例》，生活其中的人们有理由相信自己的个人信息是安全的；另一方面，香港社会却也经常爆出诸如“艳照门”、“八达通买卖用户个人资料”的轰动性事件，给人们带来种种不安。

独立的专门机构：香港个人资料私隐专员公署在香港住了稍微长一点时间才发现一个“奇怪”的现象：很要好的香港朋友会跟你探讨学习课程，会跟你一起八卦明星绯闻，但是很少会跟你讲他的家庭，分享他的感情；他们会跟你在外边吃饭，但是从来不像内地好朋友那样“亲密无间”，很少见他们邀请你去家里做客；学习和工作之后的生活，他们会觉得是自己私人的事情，没必要与别人分享。

香港普通市民大多具有很强的保护自己个人信息的意识，这与个人资料私隐专员公署的积极努力分不开。

成立于1996年8月1日的香港个人资料私隐专员公署非常特殊，并非仅仅因为它是亚洲唯一一家公营的个人信息监管机构，更是缘于它的完全独立性，不受香港任何机构的管治，也不需要向最高行政长官负责和报告，这一点确实比声名远扬的香港廉政公署还“牛”。

因此，很多人因为津津乐道于香港廉政公署雷厉风行的执法，进而猜测香港个人资料私隐专员公署也应该是一个“厉害角色”。

但事实上，它的职责只是监察香港法例第486章《个人资料（私隐）条例》的施行，其重要目标也只是确保个人和公司（其他机构）认识自己在个人信息保护领域的权利和义务。

香港个人资料私隐专员公署平日里最多的工作不是凭借强力手段打击对个人信息的侵犯，而是通过教育、宣传和推广，培养香港公众尊重个人信息的文化。

普通公民可以在公署官方网站上预订每个月2-3次的隐私权保护讲座，公署也经常会派员到香港的酒店和医院宣传推广“如何保护个人资料”，还会在电视节目上提醒公民要善于保护自己的个人信息。

金融视线Financial View 在互联网和大数据时代，个人信息保护的重要性日益凸现。

我国近期新出台的法律法规明显加强了对个人信息保护的重视。

但相关要求与部分国家、地区相比尚有差距。

我国银行业在积极走出去的同时，还需关注不同地区的法律法规，建立国际化的信息保护机制。

一、重视个人信息的保护2017年3月15日审议通过的《民法总则》就民法基本原则、民事主体、民事权利、民事法律行为等基本民事法律制度作出了规定。

相较1986年制定的《民法通则》《民法总则》新增了保护个人信息的要求：“自然人的个人信息受法律保护。

任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

”2017年5月，最高人民法院、最高人民检察院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将“公民个人信息”定义为：以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

商业银行掌握大量的个人信息，需持续重视、改进个人信息保护，不断优化制度措施。

二、香港个人信息保护措施在香港地区，银行及其他金融机构须遵守《个人资料（私隐）条例》(Personal Data Privacy Ordinance)的规定，妥善处理客户的姓名、联系方式、身份证件信息、职业情况、财务状况、信贷记录等敏感信息。

条例的核心内容主要有6个方面，包括：收集个人信息的目的及方式（Purpose and manner of collection of personal data）、个人信息的准确性及保留期间（Accuracy and duration of retention of personal data）、个人信息的使用（Use of personal data）、个人信息的保安（Security of personal data）、信息需在一般情况下可提供（Information to be generally available）和查阅个人信息（Access to personal data）。

隐私法简介随着互联网的迅速发展和个人信息的大规模收集和使用，保护个人隐私和数据安全变得越来越重要。

为了保障公民个人信息的合法权益，各国纷纷制定了相应的隐私法律。

本文将详细介绍隐私法的定义、目的、关键原则和法规例证。

定义隐私法，也称为个人数据保护法或个人隐私法，是为了保护个人的隐私，限制公共和私人组织收集、使用和存储个人信息的法律法规体系。

隐私法不仅涉及个人的身份信息，还包括个人的交易记录、偏好、习惯等个人特征数据。

目的隐私法的目的在于：1.保护公民的个人隐私权益，防止个人信息被滥用或泄露。

2.促进健康、互信、公平和安全的信息处理环境。

3.为企业和组织提供明确的指导，确保个人信息的合法收集和使用。

4.维护社会秩序和公共安全。

5.促进信息技术的发展，推动数字经济的繁荣。

关键原则隐私法遵循以下关键原则：1.合法性与透明性：个人信息的处理应该依照法律和公众可接受的原则，并向信息主体透明公示数据处理的目的、方式和范围。

2.目的限制：个人信息只能依据特定、明确而合法的目标被处理，并不得进一步与这些目标不相容的方式处理。

3.数据最小化：个人信息的收集、处理和存储应限制在最低必需的范围内，确保数据的合理、相关和必要。

4.数据准确性：个人信息应当是准确的，不得出现错误或过时的信息。

5.存储限制：个人信息只能存储在有限的时间内，并在存储期限届满后进行删除或匿名化处理。

6.安全性和保密性：个人信息需要采取合理的安全措施，防止未经授权的访问、使用、修改、披露或破坏。

法律例证欧盟通用数据保护条例（GDPR）欧盟通用数据保护条例（GDPR）是一个具有全球影响力的隐私法规。

GDPR于2018年5月25日正式生效，适用于所有在欧盟境内提供产品和服务的组织，以及处理欧盟居民个人信息的任何全球组织。

GDPR强调了个人隐私的保护，并增强了个人对其个人数据的控制权。

它规定了组织必须遵守的一系列数据保护规则和要求，包括个人信息的合法性、目的限制、数据传输、安全性等方面的要求。

P005-关于香港行政区《个人资料(隐私)条例》的简介香港特别行政区于2005年制定了《个人资料（隐私）条例》，并于2006年8月1日起生效。

2012年7月6日，该条例进行了较大修订，并于2013年4月1日起全面实施。

该条例的目的是为了保障个人隐私，在个人资料方面对数据用户（即数据使用者）获取、持有、处理个人资料提出了规范性要求。

有关公司日常经营的重要条款包括资料保障原则和在直接促销中使用个人资料及提供个人资料用于直接促销（VIA部）。

资料保障原则要求个人资料只有在与数据用户业务相关联时才可被合法、公平收集。

在收集资料时或前，应确保告知当事人有责任提供或自愿提供；不提供将承受的后果；数据用于的目的；可能被转移予什么人；当事人查阅或改正的权利；处理查询或更正的人的姓名（头衔）及地址。

资料的准确性及保留时间应确保资料被准确使用，且个人资料的保存时间不超过被使用或会被使用所需的时间。

个人资料的使用无当事人明示同意，个人资料不得用于新目的。

个人资料的保安采取所有切实可行步骤，确保个人资料受保障而不受未或准许的查阅、处理。

资料须在一般情况下可提供采取所有切实可行步骤，以确保任何人能确定数据用户在个人资料方面的政策及实务；能或告知数据用户所持有的个人资料的种类及目的。

资料当事人有权查询、要求改正个人资料。

在直接促销中使用个人资料及提供个人资料用于直接促销（VIA部）时，数据用户将个人资料用于直接促销前，须采取指明行动。

该指明行动包含下列所有项目：告知有关资料当事人——告知条款，明确告知用户个人资料的收集、使用及保护情况，并提供选择是否接收促销信息的选项。

同时，在用户登记流程中加入回复流程，让用户有权利随时修改或删除个人资料。

2、关于招聘1）除非必要，否则不要收集与招聘无关的个人资料。

2）对于求职者的个人资料，应妥善保管并仅限于招聘使用。

3）在面试前告知求职者个人资料的收集及使用情况，并取得其同意。

3、关于客户服务1）在客户服务中心或网站上，应明确告知客户个人资料的收集、使用及保护情况，并提供选择是否接收促销信息的选项。

数据存储的金融行业法规
金融行业的数据存储受到许多法规的监管，这些法规旨在确保金融机构对客户数据的保护和安全。

以下是一些重要的金融行业法规：
1.通用数据保护条例（GDPR）：GDPR是欧盟颁布的一项法规，这是一项重要的数据保护和隐私法规，适用于处理欧盟公民个人数据的任何公司。

金融机构需要确保他们的数据存储和处理符合GDPR的要求。

2.美国《格兰岱尔法》（Gramm-Leach-Bliley Act，GLBA）：
这是美国国会颁布的一项法律，旨在保护金融机构的客户数据。

该法律要求金融机构采取适当的措施来保护客户数据的机密性和安全性，并要求它们提供有关数据处理实践的隐私通知。

3.欧洲支付服务指令（PSD2）：PSD2是欧盟的一项法规，旨
在促进电子支付服务的发展，并增加支付服务提供商对客户数据的访问。

根据PSD2，金融机构需要与第三方支付服务提供
商安全共享客户数据。

4.美国《金融隐私法》（Financial Privacy Law）：该法律要求
美国金融机构向客户提供隐私通知，并要求它们保护客户个人信息的机密性和安全性。

该法律还规定金融机构在共享客户信息时需要经过客户的同意。

5.香港《个人数据（私隐）条例》：该条例是香港的一项法律，
旨在保护个人数据的隐私和安全。

根据该法律，金融机构需要采取适当的措施来保护客户数据，并且只能在符合法律要求的情况下共享客户数据。

除了上述法规，金融行业还需要遵守其他涉及数据存储的法规，如网络安全法、个人信息保护法等。

個人資料(私隱)條例簡介講座《個人資料(私隱)條例》立法背景•於1996年12月20日生效，是根據國際認可的保障資料原則制訂條例修訂•《2012年個人資料(私隱)(修訂)條例》於2012年7月6日刊登憲報•所有修訂條文已正式實施1條例的宗旨•條例旨在保障「資料當事人」在「個人資料」方面的私隱權利，但並不保障一般私隱事宜「資料當事人」是有關「個人資料」所指的在世人士2條例內的詞彙定義「個人資料」須符合以下三項條件：(1)直接或間接與一名在世人士有關(2)從該等資料直接或間接地確定有關的個人的身分是切實可行的；而(3)該等資料的存在形式令予以「查閱」及「處理」均是切實可行的3「資料」 任何文件中資訊的任何陳述，包括意見的表達或身份代號(如身份證號碼) 4 條例內的詞彙定義工作評核報告個人資料的例子日常生活中的例子包括個人姓名、電話號碼、地址、性別、年齡、宗教信仰、國籍、相片、身分證號碼、信貸紀錄等5「資料使用者」是一切控制「個人資料」的收集、持有、處理或使用的人6條例管轄所有資料使用者條例設定的保障資料原則•條例載列六項保障資料原則，是條例的基本精神•資料使用者在收集、持有、準確性、保留期間、保安、私隱政策、查閱及更改個人資料各方面，必須遵從該六項原則的規定7六項保障資料原則8原則1 ─ 收集資料的目的及方式•必須與資料使用者的職能或活動有關•收集的方式必須合法及公平•收集的資料要適量而不過多9公司助理- 中五或以上程度- 熟悉公司秘書職務請將履歷寄往郵政信箱第100號公司助理- 中五或以上程度- 熟悉公司秘書職務有興趣人士可致電 2808-2808 與人力資源部主任陳安琪小姐聯絡要求求職者提供個人資料沒有提供僱主身分沒有要求求職者提供個人資料提供聯絡人姓名，以便求職者 - 詢問僱主身分- 詢問目的聲明方面的資料不公平收集個人資料例子–匿名廣告10原則1 ─ 收集資料的目的及方式給資料當事人的建議•只需向機構提供足夠資料便可，不應超過有關目的的實際需要。

今日香港：八達通出售客戶個人資料獨犯私隱條例
討論內容：
本月初，八達通控股有限公司（八達通）行政總裁陳碧鏵聲稱不會向第三者出售客戶個人資料。

事隔半個月，於個人資料私隱專員公署的公開聆訊上，她承認於過去四年內，八達通旗下的八達通獎賞及廣聯兩間公司，合共出售197萬客戶資料予六間公司作推銷用途，其中包括保險公司、市場調查公司和雜誌分銷商，從中獲利達四千四百萬元。

她承認收益當中涉及保險買賣的佣金。

由八達通獎賞提供客戶資料，藉以推廣保險公司的產品。

每年八達通最少要向保險公司提供七十五萬客戶個人資料，合約訂明的「每年最低收入保證金」才不用扣減。

有立法會議員認為需要重新審視並修改八達通卡公司及獎賞公司的私隱保障機制，並質疑她連番說謊，要求她引咎辭職。

同時，八達通公司被批無企業責任。

參考：「《八達通賣客戶資料袋4400萬涉197萬客包括收入消費額》」
《明報》2010年7月27日討論問題：
I 1. 甚麼是企業社會責任？
B 2. 企業出售客戶個人資料原因是甚麼？對客戶有甚麼影響？
B 3. 行政總裁陳碧鏵在是次事件上「前言不對後語」，你認為她的行為會
帶來什麼後果？
B 4. 被揭露出售客戶個人資料，對企業形象有什麼影響？
R 5. 個人資料私隱專員吳斌表示是次事件反映個人資料是有價值的商品，你認為可以怎樣保障個人資料私隱？
L 6. 假如你是一名行政總裁，你會以謊話來掩飾自己的過失嗎？為什麼？
1。

《人事登记条例》本条例旨在就香港境内的人及在其他地方而拥有香港居留权的人的登记及其详情的记录，及身分证的发给、携带、出示及应用，及为与该等事宜相关的目的而订定条文。

(由1979年第46号第2条修订；由1987年第32号第2条修订；由1999年第71号第3条修订；由2003年第9号第2条修订)[1960年6月1日]1960年A44号政府公告(本为1960年第18号)第1条简称版本日期30/06/1997本条例可引称为《人事登记条例》。

第1A条释义版本日期12/05/2003(1)在本条例中，除文意另有所指外─(由2003年第9号第3条修订)“入境事务队成员”(memberoftheImmigrationService)指担任《入境事务队条例》(第331章)附表1指明的职级的人；(由2003年第9号第3条增补)“入境事务审裁处”(ImmigrationTribunal)指根据《入境条例》(第115章)第53F条设立的入境事务审裁处；(由1987年第32号第3条增补。

由1997年第80号第103条修订；由1997年第363号法律公告修订)“已打孔身分证”(perforatedidentitycard)指已由登记主任以机器打孔显示失效日期的身分证；(由1983年第11号第2条增补)“永久性居民身分证”(permanentidentitycard)指载有“持有人拥有香港居留权”字句的身分证；(由1987年第32号第3条增补)“申请人”(applicant)指─(a)申请根据第3条登记的人；(b)以家长身分，为不足18岁者申请根据第3条登记的人；(c)根据本条例申请身分证的人；(d)以家长身分，为不足18岁者根据本条例申请身分证的人；(由1987年第32号第3条增补)“身分证”(identitycard)指根据本条例发给的身分证，并包括永久性居民身分证；(由1987年第32号第3条修订)“身分证明书”(certificateofidentity)一词的涵义，与《入境条例》(第115章)中该词的涵义相同；(由1987年第32号第3条增补。

关于香港特别行政区《个人资料（隐私）条例》的备忘录一、《条例》主要内容（一）概述香港于2005年制定了《个人资料1（隐私）条例》；2006年8月1日起《条例》生效； 2012年7月6日《条例》作了较大修订，该等修订自2013年4月1日起全面实施。

____________________________________________________________________ （二）目的条例旨在在个人资料方面保障个人隐私，对“数据用户”（即数据使用者）获取、持有、处理个人资料提出了规范性要求。

_____________________________________________________________________ （三）与公司日常经营有关的重要条款1、资料保障原则（1）个人资料只有在与数据用户业务相关联时才可被合法、公平收集。

在收集资料时或前，应确保告知当事人有责任提供或自愿提供；不提供将承受的后果；数据用于的目的；可能被转移予什么人；当事人查阅或改正的权利；处理查询或更正的人的姓名（头衔）及地址。

（2）资料的准确性及保留时间应确保资料被准确使用，且个人资料的保存时间不超过被使用或会被使用所需的时间。

（3）个人资料的使用无当事人明示同意，个人资料不得用于新目的。

（4）个人资料的保安采取所有切实可行步骤，确保个人资料受保障而不受未或准许的查阅、处理。

（5）资料须在一般情况下可提供采取所有切实可行步骤，以确保任何人能确定数据用户在个人资料方面的政策及实务；能或告知数据用户所持有的个人资料的种类及目的。

（6）查阅资料当事人有权查询、要求改正个人资料。

2、在直接促销中使用个人资料及提供个人资料用于直接促销（VIA 部）（1）数据用户将个人资料用于直接促销2前，须采取指明行动。

该指明行动包含下列所有项目：(a)告知有关资料当事人—1“个人资料”(Personal data)指符合以下说明的任何资料：(a)直接或间接与一名在世的个人有关的；(b)从该资料直接或间接地确定有关的个人身份是切实可行的；及(c)该数据的存在形式令予以查阅及处理均是切实可行的。

买卖数据判刑标准
买卖数据属于违法犯罪行为，其判刑标准主要根据不同国家的相关法律法规而定。

以下是一些可能适用的判刑标准：
中国大陆：根据《中华人民共和国刑法》第二百四十条规定，买卖公民个人信息、客户信息、会员信息等，情节严重的，处3年以下有期徒刑或者拘役，并处或单处罚金；情节特别严重的，处3年以上7年以下有期徒刑，并处罚金。

香港特别行政区：根据《香港特别行政区个人资料(私隐)条例》第35(1)条规定，未经个人同意或合法授权而出售、租赁或提供个人资料的，可被判处最高罚款1,000,000港元及监禁5年。

台湾地区：根据《中华民国刑法》第二百七十五条规定，买卖、收受、非法取得或提供个人资料者，情节轻微者，处3年以下有期徒刑、拘役或罚金；情节重大者，处3年以上10年以下有期徒刑，并处罚金。

美国：根据《美国计算机欺诈和滥用法案》规定，非法收购、销售、使用或转移计算机数据、计算机程序或计算机服务的，可被判处最高5年有期徒刑、罚款或两者兼施。

需要注意的是，以上仅为一些可能适用的判刑标准，具体刑罚可能还
受到其他因素的影响，如犯罪嫌疑人的前科情况、犯罪手段、犯罪所得等。

章：486 《个人资料(私隐)条例》宪报编号版本日期详题 E.R. 1 of 2013 25/04/2013本条例旨在在个人资料方面保障个人的私隐，并就附带事宜及相关事宜订定条文。

(1995年制定)[第2部、第71条(以涉及附表2为限)及附表2 } 1996年8月1日 1996年第343号法律公告} 1996年12月20日 1996年第514号法律公告} 1997年8月1日 1997年第409号法律公告]其他条文，但第30及33条除外第30条(略去制定语式条文—2013年第1号编辑修订纪录)(本为1995年第81号)(*格式变更─2013年第1号编辑修订纪录) _______________________________________________________________________________注：*整条条例的格式已按现行法例样式更新。

部： 1 导言 E.R. 1 of 2013 25/04/2013(1995年制定) 条： 1 简称及生效日期 E.R. 1 of 2013 25/04/2013附注：有关《立法会决议》(2007年第130号法律公告)所作之修订的保留及过渡性条文，见载于该决议第(12)段。

(1) 本条例可引称为《个人资料(私隐)条例》。

(2) 本条例自政制及内地事务局局长以宪报公告指定的日期起实施。

(由1997年第362号法律公告修订；由2007年第130号法律公告修订)(1995年制定) 条： 2 释义18 of 2014 05/12/2014(1) 在本条例中，除文意另有所指外─不利行动(adverse action)，就个人而言，指可对该人的权利、利益、特权、责任或权益(包括合法期望)有不利影响的任何行动；不准确 (inaccurate)，就个人资料而言，指数据是不正确的、有误导性的、不完全的或过时的；切实可行(practicable) 指合理地切实可行；文件 (document) 除包括书面文件外，包括─(a) 包含视觉影像以外的数据的纪录碟、纪录带或其他器件，而所包含的数据能够在有或没有其他设备的辅助下，从该纪录碟、纪录带或器件重现；及(b) 包含视觉影像的胶卷、纪录带或其他器件，而所包含的影像能够在有或没有其他设备的辅助下，从该胶卷、纪录带或器件重现；有关人士(relevant person)，就个人(不论如何描述该名个人)而言─(a) 如该名个人是未成年人，指对该未成年人负有作为父母亲的责任的人；(b) 如该名个人无能力处理其本身事务，指由法庭委任以处理该等事务的人；(c) 如该名个人属《精神健康条例》(第136章)第2条所指的精神上无行为能力—(i) 根据该条例第44A、59O或59Q条获委任担任该名个人的监护人的人；或(ii) (如根据该条例第44B(2A)或(2B)或59T(1)或(2)条，该名个人的监护转归社会福利署署长或任何其他人，或该监护人的职能由社会福利署署长或任何其他人执行)社会福利署署长或该其他人； (由2012年第18号第3条代替)有关数据用户 (relevant data user)─(a) 就一项视察而言，指使用某个人资料系统的数据用户，而该系统是该项视察的对象；(b) 就一项投诉而言，指该项投诉所指明的数据用户；(c) 就─(i) 由一项投诉引发的调查而言，指该项投诉所指明的数据用户；(ii) 其他调查而言，指属该项调查的对象的数据用户；(d) 就执行通知而言，指获送达该通知的数据用户；作为(act) 包括故意的不作为；投诉 (complaint) 指根据第37条作出的投诉；投诉人(complainant) 指已作出投诉的个人或已代表一名个人作出投诉的有关人士；改正 (correction)，就个人资料而言，指更正、删除或填备；改正资料要求(data correction request) 指根据第22(1)条提出的要求；每日罚款 (daily penalty) 指就在定罪后该罪行持续的每一日所处的罚款；使用(use)，就个人资料而言，包括披露或移转该数据； (由2012年第18号第2条修订)披露 (disclosing)，就个人资料而言，包括披露自数据推断所得的信息；法律规则 (rule of law) 指—(a) 普通法规则或衡平法规则；或(b) 习惯法； (由2012年第18号第3条增补)保障资料原则 (data protection principle) 指在附表1列明的任何保障资料原则；指定日 (appointed day) 指根据第1(2)条指定的日子；指明 (specified)，就格式而言，指根据第67条指明；查阅资料要求 (data access request) 指根据第18条提出的要求；相当可能损害(would be likely to prejudice) 包括可能会损害；纪录簿 (log book)，就数据用户而言，指由数据用户根据第27(1)条备存及维持的纪录簿；订明人员(prescribed officer) 指根据第9(1)条获雇用或聘用的人；订明信息 (prescribed information) 指附表3指明的任何信息； (由2012年第18号第3条增补) 个人身分标识符(personal identifier) 指─(a) 由数据用户为其作业而编配予一名个人；及(b) 就该数据用户而言，能识辨该名个人的身分而不虞混淆，的标识符，但用以识辨该名个人的该人的姓名，则不包括在内；个人资料 (personal data) 指符合以下说明的任何资料─(a) 直接或间接与一名在世的个人有关的；(b) 从该资料直接或间接地确定有关的个人的身分是切实可行的；及(c) 该数据的存在形式令予以查阅及处理均是切实可行的； (由2012年第18号第2条修订)个人资料系统 (personal data system) 指全部或部分由资料用户用作收集、持有、处理或使用个人资料的任何系统(不论该系统是否自动化的)，并包括组成该系统一部分的任何文件及设备；核准实务守则(approved code of practice) 指根据第12条核准的实务守则；核对程序 (matching procedure) 指将为1个或1个以上的目的而取自10个或10个以上的数据当事人的个人资料与为其他目的而自该等数据当事人收集的个人资料比较的程序(用人手方法的除外)，而─(a) 所作比较(不论是全部的还是部分的)是为了产生和核实可(实时或于其后任何时间)用作对任何该等数据当事人采取不利行动的资料的；或(b) 所作比较产生和核实数据，而就该数据而言可合理地相信将该数据(实时或于其后任何时间)用作对任何该等数据当事人采取不利行动是切实可行的； (由2012年第18号第2条修订)核对程序要求(matching procedure request) 指根据第31(1)条提出的要求；财经规管者 (financial regulator) 指任何以下人士或机构─(a) 根据《外汇基金条例》(第66章)第5A条委任的金融管理专员；(b) 《证券及期货条例》(第571章)第3(1)条提述的证券及期货事务监察委员会； (由2002年第5号第407条代替)(c) 《证券及期货条例》(第571章)附表1第1部第1条所指的认可结算所、认可交易所、认可控制人或认可投资者赔偿公司； (由2002年第5号第407条代替)(d) 根据《证券及期货条例》(第571章)第III部获认可提供该条例附表5所界定的自动化交易服务的人； (由2002年第5号第407条代替)(e)-(ea) (由2002年第5号第407条废除)(f) 根据《保险公司条例》(第41章)第4条委任的保险业监督；(g) 根据《职业退休计划条例》(第426章)第5条委任的职业退休计划注册处处长；(ga) 由《强制性公积金计划条例》(第485章)第6条设立的强制性公积金计划管理局; (由1998年第4号第14条增补)(gb) 由《财务汇报局条例》(第588章)第6(1)条设立的财务汇报局； (由2006年第18号第84条增补)(h) 属根据第(7)款刊登的公告为本定义的目的所指明为规管者的人；执行通知(enforcement notice) 指第50(1)条下的通知；专员 (Commissioner) 指根据第5(1)条设立的个人资料私隐专员；视察(inspection) 指根据第36条进行的视察；第三者 (third party)，就个人资料而言，指除以下人士外的任何人─(a) 资料当事人；(b) 就资料当事人而属有关人士的人；(c) 数据用户；或(d) 获数据用户为以下事情以书面授权的人─(i) 在数据用户的直接控制下收集、持有、处理或使用有关的资料；或(ii) 代资料用户收集、持有、处理或使用有关的资料；处理(processing)，就个人资料而言，包括将数据修订、扩增、删去或重新排列(不论是否藉自动化方法或其他方法)；提出要求者 (requestor)，就─(a) 查阅数据要求或改正数据要求而言，指已提出该项要求的个人或代该名个人提出该项要求的有关人士；(b) 核对程序要求而言，指已提出该项要求的数据用户；登记册(register) 指专员根据第15(1)条备存及维持的数据用户登记册；数据(data) 指在任何文件中信息的任何陈述(包括意见表达)，并包括个人身分标识符；数据用户 (data user)，就个人资料而言，指独自或联同其他人或与其他人共同控制该资料的收集、持有、处理或使用的人； (由2012年第18号第2条修订)资料用户申报表 (data user return) 指根据第14(4)条呈交予专员并(如适用的话)根据第14A(5)条更正的申报表； (由2012年第18号第3条代替)资料当事人(data subject)，就个人资料而言，指属该资料的当事人的个人； (由2012年第18号第2条修订)雇用(employment) 指根据以下合约的雇用─ (由2014年第18号第42条修订)(a) 雇用合约或学徒训练合约；或(b) 由个人亲自进行任何工作或劳动的合约，而相关词句均须据此解释； (由2014年第18号第42条修订)实务守则 (code of practice) 包括─(a) 标准；(b) 规格；及(c) 其他文件形式的实务性的指引；调查(investigation) 指根据第38条进行的调查；咨询委员会 (Committee) 指根据第11(1)条设立的个人资料(私隐)咨询委员会； (由2012年第18号第3条修订)变更通知 (change notice) 指根据第14(8)条送达专员并(如适用的话)根据第14A(5)条更正的通知。

香港法例第486章《個人資料(私隱)條例》個人資料1.根據該條例的定義，「個人資料」是指下列任何資料：(a)直接或間接與一名在生者有關的；(b)可從該等資料直接或間接地查明某人身份的；及(c)該等資料的存在形式是可予以查閱及處理的。

學校備存的個人資料，大致可分為事實或評核性資料兩類。

這兩類資料都可供查閱，但條例第VIII部內訂明獲豁免受條文管限的資料則屬例外。

保障資料原則(條例第4條及附表1)2.該條例訂明，資料使用者在法律上有責任遵守條例附表1所載的六項保障資料原則的規定。

這些原則象徵該條例的主導精神。

該條例規定，資料使用者不得做出任何有違保障資料原則的行為或從事任何有違該等原則的活動，除非根據具體情況，有關行為或活動是該條例所規定或准許的。

此外，條例亦賦予資料當事人某些權利，包括得知是否有任何資料使用者持有其個人資料；獲提供有關資料的副本，以及要求改正他們認為不正確的資料。

如有拒絕依從保障資料原則的情況，有關方面可向個人資料私隱專員投訴。

資料當事人如因有人違反該條例的規定而蒙受損失，亦可要求賠償。

因此，所有負責處理個人資料的學校人員，均應熟習附錄I所轉載的六項原則。

豁免(條例第51至63條)3.該條例訂明11種情況，可容許個人資料免受保障資料原則和條例的其他條文所管限。

學校須決定所持有的個人資料，是否可依據該條例第V I I I部獲得豁免而不受當事人查閱及改正的規定。

在依從查閱資料或改正資料的要求前，學校須先參閱條例中的這一部分，以確保擬提供的個人資料，並無獲得任何豁免。

如有需要，應尋求法律意見，以確定有關資料是否真正可獲得此類豁免。

附錄I I 概括列出該11種情況。

7投訴及上訴4.該條例訂明，如有違反該條例規定的情況，可向個人資料私隱專員投訴。

因此，凡接獲查閱或改正資料的要求，必須盡速及適當地處理。

當事人查閱資料的權利(條例第18條)5.該條例訂明，資料當事人可要求查閱自己的個人資料。

任何人或代表該人的有關人士，可要求：(a)查明學校是否持有以他/她為資料當事人的個人資料；及(b)假如學校持有該等資料，則可要求獲取一份該等資料的副本。

WRTF文件第10號方便營商諮詢委員會批發及零售業工作小組《2012年個人資料(私隱)(修訂)條例》目的繼方便營商諮詢委員會於2011年7月就BFAC第7/11號文件作討論後，本文件簡介《2012年個人資料(私隱)(修訂)條例》(“《修訂條例》”)對《個人資料(私隱)條例》(“《私隱條例》”)所作的主要修訂。

主要修訂2. 《修訂條例》於2012年6月27日獲立法會通過。

《修訂條例》訂定多項新條文，包括規管在直接促銷中使用個人資料及提供個人資料以供用於直接促銷；把披露未經資料使用者同意而取自該資料使用者的個人資料的行為訂為罪行；以及授權個人資料私隱專員(“私隱專員”)為受屈資料當事人提供法律協助。

這些條文會於以下各段作闡釋。

除與直接促銷及法律協助計劃有關的條文外，《修訂條例》的所有其他條文已於2012年10月1日起生效。

與直接促銷及法律協助計劃有關的條文會自政制及內地事務局局長以憲報公告指定的日期起實施(暫定為2013年4月)。

在直接促銷中使用個人資料3. 為了讓資料當事人在知情的情況下，選擇是否容許他人把其個人資料用於直接促銷，《修訂條例》規定，擬把個人資料用於直接促銷的資料使用者，在如此使用資料前，須－(a) 告知有關資料當事人該資料使用者擬如此使用有關個人資料，以及該資料使用者須收到該當事人對該擬進行的使用的同意1，否則不得如此使用該資料；1“同意”，就在直接促銷中使用個人資料而言，或就提供個人資料以供在直接促銷中使用而言，包括表示不反對該項使用或提供。

(b) 就該擬進行的使用，告知該當事人－(i) 擬使用的個人資料的種類；以及(ii) 該資料擬就甚麼類別的促銷標的2而使用；以及(c) 向該當事人提供一個途徑，讓該當事人可在無需向該資料使用者繳費的情況下，透過該途徑，傳達該當事人對上述擬進行的使用的同意。

本段(a)及(b)項提述的資訊，須以易於理解的方式呈示，如屬書面資訊，則亦須以易於閱讀的方式呈示。

侵犯个人信息纠纷数据泄露隐私保护和赔偿索赔侵犯个人信息纠纷：数据泄露、隐私保护和赔偿索赔在数字化时代，个人信息成为了一种重要的资产。

然而，越来越多的个人信息泄露事件频发，给人们的隐私权带来了极大的挑战。

当个人信息遭到泄露时，不仅会造成经济损失，还对个人的声誉和社会地位造成严重影响。

为了维护个人信息的安全和保护个人隐私权，出现了一系列针对数据泄露的纠纷解决机制，并规定了隐私保护和赔偿索赔的相关法律法规。

一、数据泄露导致的侵权行为数据泄露是指个人信息被未经授权的第三方获取和使用的行为。

数据泄露可以由各种因素引发，比如技术漏洞、黑客攻击、内部人员渎职等。

无论是企业还是个人，在收集、储存、处理和传输个人信息时都必须承担起保护这些信息的责任。

数据泄露导致的侵权行为包括但不限于以下几种情形：1. 未经允许收集个人信息：个人信息的收集应遵循合法、正当、必要的原则。

未经被收集者同意或违反相关法律规定的情况下收集个人信息，将构成侵权行为。

2. 未采取合理措施保护个人信息：个人信息储存和传输过程中，信息掌握方应采取适当安全措施，如加密、防火墙等，来防止个人信息被泄露。

若信息掌握方未履行保护义务，导致个人信息泄露，应承担侵权责任。

3. 不当使用个人信息：个人信息只能根据被收集者的明确同意和法律规定进行使用，任何超越同意范围和法律允许范围的行为都应视为侵权行为。

4. 泄露个人信息：信息掌握方无论是故意泄露还是因疏忽等原因导致个人信息泄露，都应当承担侵权责任。

二、隐私保护的法律法规为了保护个人信息的安全和隐私权，各国纷纷出台了相关法律法规。

以下是一些常见的隐私保护法律法规：1. 《中华人民共和国网络安全法》：该法旨在保障网络安全，明确了个人信息保护的要求和责任。

2. 《欧洲通用数据保护条例（GDPR）》：该条例适用于欧盟成员国，规定了个人信息的收集、存储和使用的限制和义务。

3. 《美国隐私法（CCPA）》：该法案规定了个人信息的保护措施和个人信息被泄露时的赔偿机制。