說法識法
個人資料保護法令的資料保護條文在2014年7月生效後,你能決定允許哪些機構收集、如何使用,
以及是否允許機構披露你的個人資料。機構指的是盈利公司和非盈利組織,包括個體戶,
但這項法令的資料保護條文不適用于政府機構。機構有責任保護個人所提供的資料。除了收集個人資料的機構有責任,
國人應如何保護個人資料,免遭不法之徒濫用?我們邀請兩位專家爲你詳細介紹。
有抽獎?家庭主婦美美眼睛一亮,最近鴻運當頭的她想試試運氣。
嗯……怎麽幸運抽獎表格上多了一行字,但她不以爲意。她填寫姓名、身份證號碼和手機號碼,小心翼翼地確保字體工整,否則抽到她卻因對方看不清字體而讓機會白白溜走。
填好幸運抽獎表格,她就拎著兩袋“戰利品”回家。從公寓側門進去,看見保安不在,但保安崗的桌子上放著一本登記簿。
在好奇心的驅使下,美美上前翻看。哦,是訪客提供的個人資料。咦,鄰居有訪客,原來他的弟弟名叫劉德華,身份證號碼是77開頭,今年40歲,真看不出,保養得真好!
美美走去開信箱,有一封保險公司寄來的保險結單。但是,怎麽裏頭夾著的不是自己的保險資料,上面有陌生人投保的金額、保費,以及親人身份等。反正不是自己的資料,美美也不理會這麽多。
經過公寓布告欄,上頭張貼的一則啓事讓她火冒三丈。管理委員會把她的名字、住宅單位號碼,以及所享有的投票比重公開。她決定要去投訴!
關于個人資料保護令
個人資料保護法令的資料保護條文在2014年7月生效後,你能決定允許哪些機構收集、如何使用,以及是否允許機構披露你的個人資料。機構指的是盈利公司和非盈利組織,包括個體戶,但這項法令的資料保護條文不適用于政府機構。機構有責任保護個人所提供的資料。
至今有約30家機構因意外或網絡遭黑客襲擊,而泄露客戶的個人資料。除了被警告,有不少機構還被罰款,其中卡拉OK連鎖店K Box在2014年因泄露31萬7000個會員名字、電話號碼和住址而被罰款5萬元。
根據法令,機構每次違例面對最高100萬元罰款。
提供過多個人資料的風險
在決定是否要提供個人資料時,你應先評估機構收集資料的要求,尤其是當對方索取大量資料時,這樣的做法是否合理。
林玉芬副教授說:“許多新加坡人爲了幸運抽獎等瑣事,樂意提供不少重要的個人資料如身份證號碼。身份證號碼、住家地址及住家電話號碼不應輕易提供,因爲這是你的個人基本資料,他人能用來拼湊出一組有關你的資料,進而拼湊出有關你的完整概況作爲違法用途,包括盜用身份。”
你有權拒絕提供個人資料,也能在提供之後改變心意,但你可能無法享用一些服務。典型的情況就是當你浏覽一些網站,如果不接受網站的識別用戶文件(cookie),你可能就無法使用該網站。林玉芬副教授說,在一般情況下,尤其是在沒有必要的時候,提供過多的個人資料,都是公衆最常犯的問題。例如:當機構收集資料的目的瑣碎、公衆不知道收集的用途或不知道提供個人資料的潛在危險,卻把個人資料都給了機構。
投訴途徑
公衆可以上個人資料保護委員會的網站www.pdpc.gov.sg、電郵[email protected]或撥電6377 3131投訴違反個人資料保護法令的行爲。雖然沒時間性,但你在事件發生一段時間後才去投訴,證據或已不存在了。
應防資料被濫用
除了收集個人資料的機構有責任,國人應如何保護個人資料,免遭不法之徒濫用?記者請教兩名精通個人資料保護法的品誠梅森律師事務所合夥人陳川首和南洋理工大學商學院商業法律副教授林玉芬。林玉芬副教授著有《在實際環境中保護資料——策略和技巧》(Data Protection in the Practical Context – Strategies and Techniques)一書。
什麽是個人資料?
任何可識別一個人身份的就是個人資料,包括車牌號碼和手機號碼。即使是籠統的零碎資料,只要結合起來能辨識出一個人,也都屬于個人資料。例如:就讀于某小學、某中學,以及開設兩年就關閉的某初級學院,綜合資料縮小了範圍,容易識別一個人的身份。
品誠梅森律師事務所合夥人陳川首說,如果個人資料是公開的,例如通過檢索引擎或付費查詢就能掌握的,或是你在社交媒體上自己公開的資料,那些資料就不受法令保護。
如果有任何法令明文規定有關單位必須公開個人資料,你的個人資料也不受保護。例如,根據建築維修與分層地契管理法令,管理委員會須把投票者名單和會議記錄張貼在布告欄。所以,上述虛構故事中的美美雖不滿管委會的做法,但對方並沒抵觸個人資料保護法令。
須先征求個人同意
在要求你提供個人資料之前,機構必須解釋收集的原因及使用的目的,並且必須先征得你的同意,才能收集、使用或披露你的個人資料。這包括你到設有閉路電視或有攝影師在場拍攝的地方,機構有必要通知訪客,他們被攝入鏡頭及圖像的用途。
此外,機構得讓公衆知道它如何處理個人資料。機構只能把個人資料用在指定的目的,若改變用途就必須另外征求消費者的同意。
不過,陳川首律師說,機構不一定非得取得消費者的明確同意。如果你爲了特定用途而自願向某機構提供個人資料,即表示你允許他們收集、使用或披露你的資料,就會被視爲同意。例如:你預約德士時發短信給司機,德士公司就獲准使用你的手機號碼。
公衆能要求機構披露它們收集了什麽個人資料,但一些機構或向你收取行政費。若資料有錯誤,公衆能要求機構修改或更新資料庫。
除非你反對,否則那些在2014年法令生效前已被收集的資料,機構還是有權繼續使用。
個人資料有哪些?
■ 姓名
■ 身份證號碼(非公民則是外國身份證號碼,簡稱FIN)
■ 護照號碼
■ 手機號碼
■ 照片或錄像
■ 聲音
■ 指紋
■ 虹膜圖像
■ 脫氧核糖核酸(DNA)基因圖
■ 汽車車牌號碼
泄露個人資料三案例
個案
1
個人資料保護委員會去年6月至7月間,接獲來自三個公寓居民的投訴,指公寓管理委員會或管理代理把投票名單或會議記錄草稿張貼在告示板上。這些文件上記錄著居民的名字、單位號碼及各單位享有的投票比重。有居民投訴管理機構在公開資料前沒有先征詢他們的同意,也有居民認爲,公開的期限過長或文件在多過一個告示板上出現。
根據建築維修與分層地契管理法令,管委會須把投票者名單和會議記錄張貼在布告欄上。雖然條文中沒有說明會議記錄中應包括哪些信息,但個人資料保護委員會認爲,爲了確保會議記錄完整和准確,當中可包括居民的個人資料。
但是,這並不表示管委會能任意在會議記錄中列出居民的個人資料,要是這些資料與討論的議題無關,個人資料保護委員會仍有權采取行動。
個案
2
去年10月,投訴人注意到執行共管公寓Prive保安崗旁的桌子上,訪客登記簿打開著,完全沒人看管。登記簿記錄了到公寓授課的遊泳教練的資料,包括他們的身份證號碼。
投訴人拍了幾張登記簿無人看管的照片爲證據,過後把它們發送給個人資料保護委員會調查。Prive接獲上述投訴後,已撤掉保安崗的桌子,並要求所有訪客到保安室登記,以確保登記簿時刻都存放在保安室裏。
個案
3
保險公司英傑華去年3月發現,發給公務員集體受保計劃的其中7794名保戶的2015年結單,連同同一個保險計劃其他保戶的資料,包括保額、保費及保戶親人的身份等。
英傑華過後連忙補救,把正確的結單和道歉信發給受影響保戶,並附上50元購物禮券和讓保戶免付一個月的保費。承印與寄發結單的印刷商,過後被個人資料保護委員會處以2萬5000元罰款。