个人资料保护委员会提议,商家如果要把个人资料用作其他用途,在难以或无法得到消费者或客户同意的情况下,只需告知用意即可,但前提是该用途不会对当事人不利。
保护个人资料的条例即将修改,如果通过,商家在某些情况下无须征得消费者或客户同意,便可把收集到的个人资料用于其他用途,包括与其他商家共享。
个人资料保护委员会提议,商家如果要把个人资料用作其他用途,在难以或无法得到消费者或客户同意的情况下,只需告知用意即可,但前提是该用途不会对当事人不利。
委员会没有规定商家该如何告知用意。告知方式可能是张贴告示或在公司网站上发布文告。
委员会也提议,如果要把个人资料用作某些法律或商业用途,如查案、诉讼、讨债或研究,商家也无须征求同意。在这种情况下,公众利益须明显大于个人利益。
通讯及新闻部长雅国博士昨日在金沙会议展览中心举行的2017年个人资料保护研讨会上宣布,个人资料保护法令将有两项修改,其中一项就是有关告知用意的条例。
他说:“我们敦促商家对数据的收集与使用负责,同时也要商家把数据用于有意义的事情,推动增长与创新。”
个人资料保护委员会昨日起就拟定中的修改向公众征询意见,直至9月21日为止。
特殊情况下须通知资料被盗
委员会提议的另一项修改是要求在个人资料被盗时,要是消费者或客户利益可能受损,商家须尽快通知当事人其资料被盗,好让他们采取行动自我保护。商家也须通知委员会。
目前,这类通知属自愿性,并非强制性。
可造成损害的被盗资料包括身份证号码、医疗信息、财务信息或密码。当事人可采取的行动包括取消信用卡或更换密码等。
如果有大量资料被盗,涉及500人或更多人,即使不会造成损害(如只有姓名泄漏),商家仍须在知情后的72小时内通知个人资料保护委员会。
委员会在公众咨询书中指出,大量资料被盗显示系统可能存在结构问题,需要委员会介入,引导商家采取妥当补救措施。
个人资料保护法令2012年在国会通过,2014年7月1日生效,主要规定商家在收集、使用与披露个人资料时,须征求消费者或客户同意。
雅国说,商家得互换信息才能创造价值,有些商家却以法令为由,不愿共享信息。
“个人资料保护法令并不禁止共享个人资料。实际上,我们要鼓励负责任的资料共享,如此一来才能为经济创造价值。”
个人资料保护委员会说,随着数码经济崛起,商家通过各种途径快速地收集大量的个人资料,规定每收集一次资料、每把资料用作另一种用途都须征得同意并不实际,因此才要修改法令。
针对这项修改建议,受访公众说,目前还不清楚条例会如何应用,但对商家将来会如何使用个人资料存有顾虑。
就放宽法令而言,受访者也想知道会被共享的是什么样的资料。
蔡雪玲(50多岁,人力资源主管)认为,如果商家先把数据匿名化才用作其他用途尚可接受,要是可辨认个人身份则不妥。
她说:“重要的是数据如何应用。如果应用不当,这将与法令的大原则背道而驰。”