P005-关于香港行政区《个人资料(隐私)条例》的简介

关于香港特别行政区《个人资料（隐私）条例》的备忘录
一、《条例》主要内容
（一）概述
香港于2005年制定了《个人资料1（隐私）条例》；2006年8月1日起《条例》生效； 2012年7月6日《条例》作了较大修订，该等修订自2013年4月1日起全面实施。

____________________________________________________________________ （二）目的
条例旨在在个人资料方面保障个人隐私，对“数据用户”（即数据使用者）获取、持有、处理个人资料提出了规范性要求。

_____________________________________________________________________ （三）与公司日常经营有关的重要条款
1、资料保障原则
（1）个人资料只有在与数据用户业务相关联时才可被合法、公平收集。

在收集资料时或前，应确保告知当事人有责任提供或自愿提供；不提供将承受的后果；数据用于的目的；可能被转移予什么人；当事人查阅或改正的权利；处理查询或更正的人的姓名（头衔）及地址。

（2）资料的准确性及保留时间
应确保资料被准确使用，且个人资料的保存时间不超过被使用或会被使用所需的时间。

（3）个人资料的使用
无当事人明示同意，个人资料不得用于新目的。

（4）个人资料的保安
采取所有切实可行步骤，确保个人资料受保障而不受未或准许的查阅、处理。

（5）资料须在一般情况下可提供
采取所有切实可行步骤，以确保任何人能确定数据用户在个人资料方面的政策及实务；能或告知数据用户所持有的个人资料的种类及目的。

（6）查阅
资料当事人有权查询、要求改正个人资料。

2、在直接促销中使用个人资料及提供个人资料用于直接促销（VIA 部）
（1）数据用户将个人资料用于直接促销2前，须采取指明行动。

该指明行动包含下列所有项目：
(a)告知有关资料当事人—
1“个人资料”(Personal data)指符合以下说明的任何资料：(a)直接或间接与一名在世的个人有关的；(b)从该资料直接或间接地确定有关的个人身份是切实可行的；及(c)该数据的存在形式令予以查阅及处理均是切实可行的。

包括个人姓名、电话号码、地址、性别、年龄、宗教信仰、身份证号、信贷记录等。

2直接促销（direct marketing）指透过直接促销方法要约提供货品、设施或服务，或进行广告宣传；或为慈善、文化、公益或其他目的索求捐款或贡献。

(i)该数据用户拟如此使用有关个人资料；及
(ii)该数据用户须收到该当事人的使用同意，否则不得使用；
(b)向该当事人提供以下信息—
(i)拟使用的个人资料种类；
(ii)该数据就什么类别促销使用；
(c)向该当事人提供一个途径，让该当事人传达对上述使用的同意。

除另有规定外，数据用户未采取指明行动，而在直接促销中使用某数据当事人的个人资料，即属犯罪，一经定罪，可处罚款$ 500000及监禁3年。

（2）例外条款：在2013年4月1日前，
(a)数据用户以书面等方式明确告知数据当事人，其个人资料拟在直接促销
中，就某类别的促销标的而被使用；
(b)该数据用户已如此使用；
(c)当事人没有要求数据用户停止使用；
(d)数据用户没有就该使用而违反《条例》的任何条文。

（3）无数据当事人同意，数据用户不得将个人资料直接用于促销。

除另有规定外，数据用户未经同意而直接将个人资料用于促销，即属犯罪，一经定罪，可处罚款$ 500000及监禁3年。

（4）数据用户首次将个人资料用于直接促销时须通知数据当事人。

未通知的，即属犯罪，一经定罪，可处罚款$ 500000及监禁3年。

（5）数据当事人可要求数据用户停止将个人资料用于直接促销。

数据用于收到数据当事人要求后应依从该要求，否则即属犯罪，一经定罪，可处罚款$ 500000及监禁3年。

（6）数据用户将当事人个人资料提供给另一人用于直接促销的，同样应遵守上述告知、取得同意等规定。

3、披露未经数据用户同意而取得的个人资料
（1）该披露出于以下用途的，即为犯罪：
(a)为获取金钱或其他财产利益；
(b)导致当事人蒙受财产或其他损失；
(c)对当事人造成心理伤害的。

（2）一经定罪，可处罚款$ 1000000及监禁5年。

4、雇主及主事人的法律责任
任何人在其受雇用中所作出的任何作为或所从事任何行为，就本条例而言须视为亦是其雇主所作出或从事的，不论其雇主是否知悉或批准。

该人如证明他已采取切实可行步骤，以防止雇员作出该作为或从事该行为，即为免责辩护。

_____________________________________________________________________
二、对公司的影响
鉴于香港加强了对个人资料的保护力度，并着重规定了个人资料用于商业目的的程序及使用方法，公司在香港开展各项业务，包括促销、招聘，使用香港公民资料时要尤其小心。

如违反《条例》中的任何规定，一经定罪，可处第3级罚款直至监禁。

_____________________________________________________________________
三、公司收集或使用个人资料的路径及已采取的保密措施
（一）收集路径
●用户注册
●旅客订票
●购买绿翼商城商品或租车、买车票
●参与抽奖等活动
●求职者应聘
●员工登记
●货运
（二）使用方式
1、通知
2、广告
（三）已采取的保密措施
1、对外
IT系统已采取加密措施
网站已公布《**隐私政策》
2、对内
是否已有个人资料使用及处理规则？（如无，建议涉密部门制定）
是否会进行保密培训？（如无，建议涉密部门提供）
部分涉密员工已签订保密协议
_____________________________________________________________________
四、处理建议
（一）香港业务的处理（先行）
1、关于直接促销
（1）尽量避免用“直接促销方法”进行直接促销。

根据香港个人资料隐私专员公署发布的《直接促销新指引》，“直接促销方法”指以邮件、图文传真、电子邮件、电话或其他方式，向指名特定人士送交资讯或货品、通话。

非应邀的商业电子讯息（“促销电邮等”）及拨打随机抽出电话号码不包括在直接促销内。

例如，发送至具名人士的电话号码的促销短信是直接促销，但向非指名人士的电话号码发出的促销电话或送交直销邮件不是直接促销。

（2）除非取得客户同意，否则不可把客户信息转移给母公司、子公司、伙伴公司用于直接促销。

（3）对网站新注册的用户加入告知、回复、登记流程
考虑到今后可能会开展直接促销活动，建议在网上注册用户流程中加入告知流程，告知用户其个人资料可能被用作直接促销。

例如：
在收到用户使用同意的回复后，方可对其进行直接促销。

另，需要对同意/不同意直接促销的用户进行分类登记。

2、关于隐私权条款
法务应根据《条例》对隐私权条款进行修订。

3、关于招聘
如招聘广告中并未直接要求应聘者提交个人资料（如要求应聘者与雇主代表联络），则不受《条例》约束，否则应受《条例》约束。

发布招聘广告的注意事项：
●须披露雇主或职业介绍所身份（如需隐藏身份，则不应要求应聘者直接
提交个人资料）
●须在广告中告知求职者个人资料使用目的
●招聘中收集的个人信息应该是必需的或直接有关的，并且适度的
4、人力资源管理中个人信息的使用
（1）收集个人资料时须给予通知
明确告知该等资料使用目的、可能转移给谁、必须/自愿提供、个人
有权要求查阅及更正。

（2）个人资料的准确性及保留期间
采取切实可行措施保障资料的准确性；求职者招聘方面的资料保留不
超过两年，由拒聘日起；雇员资料不得超过七年，由雇员离职日期起。

（3）保安措施
●有系统、定期向或授权查阅及处理资料的雇员传达保安政策
●持续为雇员提供保密培训
●为新雇员提供保密培训，作为入职培训的一部分
●定期检查及更新相关雇主政策、培训资料及雇员手册
●相关雇员应签署保密声明
（4）依从查阅资料及改正资料要求
除另有规定外，雇主应在收到查阅通知后40日内提供个人资料的副本；如是改正通知，则雇主应在40天内改正。

（二）大陆及其他地区业务的处理（后续）
加强对用户、旅客、员工个人信息的内部控制
●梳理现有个人信息获取、使用、处理流程
●完善上述流程
●制定个人信息使用及处理的相关规定
●要求可能接触或获取个人信息的员工签收并认真学习上述规定
●统计已签署保密协议的人员，如涉密人员未签署，要求签署
____________________________________________________________________。