导航
X
    toutiao
  • 8年 之前

保护个人资料

说法识法

郑靖豫 peckgek@sph.com.sg

个人资料保护法令的资料保护条文在2014年7月生效后,你能决定允许哪些机构收集、如何使用,

以及是否允许机构披露你的个人资料。机构指的是盈利公司和非盈利组织,包括个体户,

但这项法令的资料保护条文不适用于政府机构。机构有责任保护个人所提供的资料。除了收集个人资料的机构有责任,

国人应如何保护个人资料,免遭不法之徒滥用?我们邀请两位专家为你详细介绍。

有抽奖?家庭主妇美美眼睛一亮,最近鸿运当头的她想试试运气。

嗯……怎么幸运抽奖表格上多了一行字,但她不以为意。她填写姓名、身份证号码和手机号码,小心翼翼地确保字体工整,否则抽到她却因对方看不清字体而让机会白白溜走。

填好幸运抽奖表格,她就拎着两袋“战利品”回家。从公寓侧门进去,看见保安不在,但保安岗的桌子上放着一本登记簿。

在好奇心的驱使下,美美上前翻看。哦,是访客提供的个人资料。咦,邻居有访客,原来他的弟弟名叫刘德华,身份证号码是77开头,今年40岁,真看不出,保养得真好!

美美走去开信箱,有一封保险公司寄来的保险结单。但是,怎么里头夹着的不是自己的保险资料,上面有陌生人投保的金额、保费,以及亲人身份等。反正不是自己的资料,美美也不理会这么多。

经过公寓布告栏,上头张贴的一则启事让她火冒三丈。管理委员会把她的名字、住宅单位号码,以及所享有的投票比重公开。她决定要去投诉!

关于个人资料保护令

个人资料保护法令的资料保护条文在2014年7月生效后,你能决定允许哪些机构收集、如何使用,以及是否允许机构披露你的个人资料。机构指的是盈利公司和非盈利组织,包括个体户,但这项法令的资料保护条文不适用于政府机构。机构有责任保护个人所提供的资料。

至今有约30家机构因意外或网络遭黑客袭击,而泄露客户的个人资料。除了被警告,有不少机构还被罚款,其中卡拉OK连锁店K Box在2014年因泄露31万7000个会员名字、电话号码和住址而被罚款5万元。

根据法令,机构每次违例面对最高100万元罚款。

提供过多个人资料的风险

在决定是否要提供个人资料时,你应先评估机构收集资料的要求,尤其是当对方索取大量资料时,这样的做法是否合理。

林玉芬副教授说:“许多新加坡人为了幸运抽奖等琐事,乐意提供不少重要的个人资料如身份证号码。身份证号码、住家地址及住家电话号码不应轻易提供,因为这是你的个人基本资料,他人能用来拼凑出一组有关你的资料,进而拼凑出有关你的完整概况作为违法用途,包括盗用身份。”

你有权拒绝提供个人资料,也能在提供之后改变心意,但你可能无法享用一些服务。典型的情况就是当你浏览一些网站,如果不接受网站的识别用户文件(cookie),你可能就无法使用该网站。林玉芬副教授说,在一般情况下,尤其是在没有必要的时候,提供过多的个人资料,都是公众最常犯的问题。例如:当机构收集资料的目的琐碎、公众不知道收集的用途或不知道提供个人资料的潜在危险,却把个人资料都给了机构。

投诉途径

公众可以上个人资料保护委员会的网站www.pdpc.gov.sg、电邮info@pdpc.gov.sg或拨电6377 3131投诉违反个人资料保护法令的行为。虽然没时间性,但你在事件发生一段时间后才去投诉,证据或已不存在了。

应防资料被滥用

除了收集个人资料的机构有责任,国人应如何保护个人资料,免遭不法之徒滥用?记者请教两名精通个人资料保护法的品诚梅森律师事务所合伙人陈川首和南洋理工大学商学院商业法律副教授林玉芬。林玉芬副教授著有《在实际环境中保护资料——策略和技巧》(Data Protection in the Practical Context – Strategies and Techniques)一书。

什么是个人资料?

任何可识别一个人身份的就是个人资料,包括车牌号码和手机号码。即使是笼统的零碎资料,只要结合起来能辨识出一个人,也都属于个人资料。例如:就读于某小学、某中学,以及开设两年就关闭的某初级学院,综合资料缩小了范围,容易识别一个人的身份。

品诚梅森律师事务所合伙人陈川首说,如果个人资料是公开的,例如通过检索引擎或付费查询就能掌握的,或是你在社交媒体上自己公开的资料,那些资料就不受法令保护。

如果有任何法令明文规定有关单位必须公开个人资料,你的个人资料也不受保护。例如,根据建筑维修与分层地契管理法令,管理委员会须把投票者名单和会议记录张贴在布告栏。所以,上述虚构故事中的美美虽不满管委会的做法,但对方并没抵触个人资料保护法令。

须先征求个人同意

在要求你提供个人资料之前,机构必须解释收集的原因及使用的目的,并且必须先征得你的同意,才能收集、使用或披露你的个人资料。这包括你到设有闭路电视或有摄影师在场拍摄的地方,机构有必要通知访客,他们被摄入镜头及图像的用途。

此外,机构得让公众知道它如何处理个人资料。机构只能把个人资料用在指定的目的,若改变用途就必须另外征求消费者的同意。

不过,陈川首律师说,机构不一定非得取得消费者的明确同意。如果你为了特定用途而自愿向某机构提供个人资料,即表示你允许他们收集、使用或披露你的资料,就会被视为同意。例如:你预约德士时发短信给司机,德士公司就获准使用你的手机号码。

公众能要求机构披露它们收集了什么个人资料,但一些机构或向你收取行政费。若资料有错误,公众能要求机构修改或更新资料库。

除非你反对,否则那些在2014年法令生效前已被收集的资料,机构还是有权继续使用。

个人资料有哪些?

■ 姓名

■ 身份证号码(非公民则是外国身份证号码,简称FIN)

■ 护照号码

■ 手机号码

■ 照片或录像

■ 声音

■ 指纹

■ 虹膜图像

■ 脱氧核糖核酸(DNA)基因图

■ 汽车车牌号码

泄露个人资料三案例

个案

1

个人资料保护委员会去年6月至7月间,接获来自三个公寓居民的投诉,指公寓管理委员会或管理代理把投票名单或会议记录草稿张贴在告示板上。这些文件上记录着居民的名字、单位号码及各单位享有的投票比重。有居民投诉管理机构在公开资料前没有先征询他们的同意,也有居民认为,公开的期限过长或文件在多过一个告示板上出现。

根据建筑维修与分层地契管理法令,管委会须把投票者名单和会议记录张贴在布告栏上。虽然条文中没有说明会议记录中应包括哪些信息,但个人资料保护委员会认为,为了确保会议记录完整和准确,当中可包括居民的个人资料。

但是,这并不表示管委会能任意在会议记录中列出居民的个人资料,要是这些资料与讨论的议题无关,个人资料保护委员会仍有权采取行动。

个案

2

去年10月,投诉人注意到执行共管公寓Prive保安岗旁的桌子上,访客登记簿打开着,完全没人看管。登记簿记录了到公寓授课的游泳教练的资料,包括他们的身份证号码。

投诉人拍了几张登记簿无人看管的照片为证据,过后把它们发送给个人资料保护委员会调查。Prive接获上述投诉后,已撤掉保安岗的桌子,并要求所有访客到保安室登记,以确保登记簿时刻都存放在保安室里。

个案

3

保险公司英杰华去年3月发现,发给公务员集体受保计划的其中7794名保户的2015年结单,连同同一个保险计划其他保户的资料,包括保额、保费及保户亲人的身份等。

英杰华过后连忙补救,把正确的结单和道歉信发给受影响保户,并附上50元购物礼券和让保户免付一个月的保费。承印与寄发结单的印刷商,过后被个人资料保护委员会处以2万5000元罚款。