【数据法学】谢琳：香港数据处理者的个人数据保护责任问题研究

B D A I L C 

 欢 迎 关 注 

2012年香港新修订了《个人数据（私隐） 条例》。数据处理者（即外判商）责任问题是修订时的主要问题之一。本文分析了对数据处理者各种规管模式的利弊，并对香港选择的间接规管模式进行讨论，最后对我国的相关立法提出建议。

Eugene Delacroix · Sea Viewed from Dieppe

文 / 中山大学法学院 谢琳

(一)概况

我国香港特别行政区早已于1996年12月实施了私隐条例，并指定香港个人数据私隐专员公署为行政上的执行监察机关。[1]香港私隐条例的主要目的是为了保障市民的个人数据不会被人误用或滥用。[2]

与香港其他条例不同，私隐条例是以原则为中心的。条例的核心条款为六项保障数据原则。[3]私隐条例的附表1规定了这六大保障数据原则：(1)收集个人数据的目的及方式；(2)个人数据的准确性及保留期间；(3)个人数据的使用；(4)个人数据的保安；(5)制定及提供个人数据的政策及实务；(6)查阅个人数据。

这六大原则就是该条例的基础。在这六大原则的背后意图是，创造一个新的文化，从而引导个人数据的处理。[3]这些原则并没有对数据使用者的行为进行直接具体详细的规定。[3]当数据使用者违反条例时，香港个人数据私隐专员公署的私隐专员将会进行调查，在确定数据使用者违规后，对其发出一封执行通知。违反数据保护原则往往只会引起民事诉讼而已。而不管该执行通知是否已发出，受害者都可以起诉数据使用者。[3]

私隐条例的六大原则并没有采用严格的定义，导致在诉讼中条例的日常语义未必是足够的。[3]在某些案件中，专家的解释和建议可能对数据使用者有利。[3]在司法判决方面，至今还没有一个完整的司法判例能对所有的原则做出一个权威性的解释。[3]在行政规管方面，在过去十几年中，私隐专员处理了几百件询问和投诉，已对这些原则做出某些规范性的解释，发布某些具体个案简述，并给予这些原则更充分的含义。私隐专员在这些个案的决定只反映公署的意见及政策，并时不时被行政上诉委员会和法院检验。[3]私隐条例实施的十几年来，法院与私隐专员公署分别做出了一些司法原则和执行决定。[1]正所谓“法律的生命不是逻辑,而是经验”，[1]这些实践和修订的经验都很值得我国在制定个人信息保护相关法律法规时加以参考与借鉴。[1]

(二)存在问题

香港六大保障数据原则仅仅规定了数据使用者的责任，而并没有规定数据处理者的责任。这个法律上的空白，有可能导致个人数据的安全得不到保障。私隐条例区分了数据使用者(data user)和数据处理者(data processor)。数据使用者委托数据处理者处理个人数据。数据使用者是指，独自或联同其他人或与其他人共同控制个人数据的收集、持有、处理或使用的人。[2]数据处理者是指，纯粹为数据使用者(而并非为其本身的目的)持有、处理或使用个人数据的任何一方(但不包括数据使用者的雇员)。数据处理者具有两个特点：(a)代为另一人处理个人数据；以及(b)并不为自己本身目的而处理该数据。[3]例如，受聘把个人数据输入电脑系统的服务提供商，和受聘销毁载有个人数据的机密文件的外判商。[4]私隐条例第2(12)条对数据使用者和数据处理者进行区分，指出数据处理者并不是数据使用者。[4]

数据处理者定义宽广。数据处理者包括，传统的信息科技、应用系统及业务流程外判服务供货商，获委聘把个人数据输入计算机的合约服务供货商，以及负责切碎内含个人数据的机密文件的承办商；同时也包括，从事互联网业务的外判服务公司，如互联网服务供货商、网页寄存公司、社交网站营运商及服务式软件提供者。[5]

在当今互联网时代，数据处理者的责任问题尤为重要。把个人数据分判或委托给第三者处理的趋势日益普遍，数据处理者承担主要的保密工作。[5]以电子方式处理个人数据，增加了这些数据外泄的风险。因为数据遗失，可在瞬间发生，并可对受影响的数据当事人，造成重大及深远的损害。以电子方式把个人数据传输给承办商或外判受托方处理，这方面的风险尤其值得关注。[5]在香港，已经发生了连串的个人数据泄漏事件，以及互联网上流传的外泄的个人数据的事故。这些事故使个人私隐遭严重侵犯，并造成身分被盗用和假冒。[5]香港社会人士担心，数据处理者违反保安规定，可能会导致在互联网上大量泄露个人数据。[5]

私隐条例仅仅规定，数据使用者须就该获其授权(不论是明示或暗示，亦不论是事前或事后授权)的代理所作出的任何行为承担责任(第65(2)条)。因此，数据处理者无须遵守私隐条例，包括保障数据原则的规定。数据处理者只可能对其委托人数据使用者承担合同上的义务。之前的立法咨询文件指出，第65(2)条的规定是并不足够的，立法应该加强保安措施，特别是涉及外判时的保安，以规管交托给代理处理的个人数据。[5]

(一)国际做法

向数据使用者施加特定的义务，要求数据使用者确保数据处理者保障个人数据的安全，是国际上的惯常做法。[5]其中包括：

(a)有关个人数据保护的欧盟指令[5]同时向数据控制者和数据处理者施加直接责任。依据该欧盟指令第2(d)(e)条，所指的数据控制者相当于香港的数据使用者，数据处理者以数据控制者的名义处理数据。该欧盟指令第17条规定，数据控制者需挑选可充分保证采取技术性保安措施及机构层面措施的处理者，并需通过合同或其他法律行为来确保处理者遵行该等措施。该欧盟指令第16条把有关数据处理的保密责任，加诸数据处理者身上，并要求数据处理者只能遵照数据控制者的指示处理数据。可是，欧盟指令对数据处理者没有直接的约束力，而成员国在法律上无须直接施加有关责任。[5]

(b)英国保障数据法令[6]向数据控制者施加责任。英国保障数据法令第1(1)条指出，数据处理者不同于数据控制者。第11条规定，数据控制者必须挑选可充分保证在处理数据方面采取技术及机构层面保安措施的处理者；并须采取合理的步骤，以确保数据处理者遵行保安措施。第12条明确指出，数据控制者向数据处理者施加责任的方式必须是采用合同方式，并且必须采用书面合同方式。合同条款包括，数据处理者必须只能遵照数据控制者的指示处理数据，并应履行与数据控制者同等的法律上的保障义务。[5]

(c)加拿大《个人数据保障与电子文件法案》[7]向机构(organization)施加责任，要其以合约方式或其他方法，确保其分判承办商及代理，会遵守该规管私营机构的法案。[5]

(d)新西兰的私隐法令[8]规定，机构须在其权力范围内采取一切合理的措施，防止在聘用第三者提供服务时所交托的数据，在未经授权下遭使用或被披露。[5]

(e)澳大利亚私隐法令[9]要求把私隐数据纪录交托给服务供货商的纪录备存者，在其权力范围内采取一切合理的措施，防止有人在未经授权下，使用或披露受托纪录内的个人数据。

加拿大及澳大利亚均没有区分数据使用者与数据处理者。不论是数据使用者或数据处理者，任何机构均须遵行有关私隐原则，包括与私隐条例下保障数据第2(2)原则(保存)、第3原则(使用)及第4原则(保安)相若的原则。[5]

作出任何模式的规管，目的都是确保数据当事人的个人数据私隐受到法律保障。要达到此目的，可选择的规管方法包括向选用数据处理者的数据使用者订明特定责任、或直接规管数据处理者、或两者兼用。[5]

(二)直接规管

直接规管模式是指，私隐条例直接订明数据处理者所应承担的义务和责任。采用直接规管的理由是：(1)单单依靠数据使用者，确保数据处理者保障个人数据私隐未必足够；(2)数据当事人可能会期望，交予数据处理者的个人数据，应受到数据使用者所提供的同等保障。(3)数据使用者辩称，间接规管模式将对他们造成沉重的负担。现时分判安排非常普遍，数据处理者可能会把个人数据再次转移给其他分判承办商，而分判承办商可能再进一步把数据的处理工作，分判给其他代理处理。如法律不对数据处理者作直接规管，则数据使用者会因私隐条例第65(2)条，就数据处理者及与其没有直接合约关系的分判承办商的错失，承担全部责任。[5](4)受害者没法直接起诉数据处理者，可能导致无法及时阻止侵害，特别是当数据处理者位于境外时，更加难以阻止侵权继续进行。[6]

直接规管模式被认为是对受害者而言更为直接有效的解决模式。[6]甚至有人提出更为激进的模式，要求数据处理者承担法律上直接责任的同时，还要求数据使用者承担替代责任(vicarious liability)。[6]

参照数据使用者的直接责任，数据处理者如需承担直接责任，一般要遵循以下三项要求：[5]

“(a)确保个人数据只会用于在受托处理数据时所述明的用途，或与其直接有关的用途；(b)采取所有合理可行的步骤，确保由其保管的个人数据安全及妥为保存；以及(c)采取所有合理可行的步骤，删除无须再为贯彻其受托目的而持有的个人数据。

数据处理者若不遵行上述(a)至(c)项任何一项规定，私隐专员会采取执法行动，包括送达执行通知。”

(a)项规定限定了用途。(b)项规定是处理个人数据方面的基本保安规定。(b)项规定不应对与互联网有关的行业造成额外负担。他们只需采取适当的措施，保障其系统及网络内数据的安全。数据处理者并非承担绝对保证责任，只要数据处理者已采取所有合理可行的步骤，防止个人数据保安方面的风险，便不会违反规定。[5] (c)项规定的目的是，防止因数据处理者无限期保存其处理的个人数据而增加保安风险。[5]

在现实中，这三项直接规管的规定存在各种操作上的困难。原因有两个：(1)许多数据处理者往往不知道所处理的数据是否含有个人数据。很多与互联网有关的行业的经营目的，是方便取阅数据。举例而言，如搜寻器把个人数据编入索引和作快取贮存，然后再将这些数据提供给使用者，则尽管这些数据处理者并不知道有关数据是个人数据，也可能抵触有关责任。数据处理者可能无法确定，怎样会构成未经授权下取阅个人数据。[5](2)许多数据处理者都不知道其处理的数据的用途，包括收集数据的原来目的。私隐条例依据“在收集该等数据时的使用目的”等概念进行规管。但部分与互联网有关的行业会为多个委托人处理同一数据。由于要代多个使用者对同一数据作不同用途，要求该数据处理者确定数据的准许用途，并非直接简单的事情。[5]例如，社交网站同时为发布数据的使用者、数据搜索者、被通知有关数据发布用户、以及数据阅读者处理个人数据。[5]又如，依靠广告收入来经营的网上电邮服务供货商，可能要代发件人传输个人数据，代收件人储存、转寄个人数据及将之编入索引，以及代第三者处理数据作市场推广讯息用途。[5]

因此，如果规定促进信息自由流通的数据处理者必须确定所储存、编入索引、传输、送达等的信息是否个人数据，且该等个人数据是否用于数据使用者委托时所述明的用途，则将会向数据处理者施加广泛的责任，可能会阻碍互联网信息的流通。[5]而且互联网相关行业对如何直接规管表示忧虑。因为个别行业在运作上具有特有限制，所以直接规管最好能对不同类别的数据处理者施加不同的责任。然而这样的规定可能无法实现。[5]

(三)间接规管

间接规管的模式毋需由私隐条例规定数据处理者的明确责任，但要求数据使用者应确保，数据处理者保障个人数据的安全程度须与其本身提供的相同。如采用间接规管模式，若数据处理者有过失，受害的数据当事人及数据使用者不能依据私隐条例向数据处理者寻求补救。不过，数据使用者仍可根据违约责任，向数据处理者寻求补偿。而受害的数据当事人只可向数据使用者寻求补救。[5]

采用间接规管的理由是，直接规管很可能无法切实实施。如果要为数据处理者订立广泛适用的详细责任，可能会为与互联网有关的行业带来无法预料的后果。与互联网有关的行业，例如互联网服务供货商及网上服务供货商，难以遵行广泛适用的详细责任，不利于正在蓬勃发展的与互联网有关的行业。尽管在草拟法律时如何小心谨慎，以顾及与互联网有关的各类行业的特有问题，但互联网的世界瞬息万变，直接规管很难做到不会窒碍与互联网有关的行业发展新服务。[5]

有人建议，间接规管模式的实施必须具有可靠性，数据使用者必须采用合约或者其他方式来确保数据处理者采用同等的保障。数据使用者应要求数据处理者遵循保障数据原则2(2) (数据保留期间)、原则3(个人数据的使用)以及原则4(个人数据的保安)。[7]

(四)折衷模式

折衷模式要求，互联网行业制定自己的私隐政策，并履行其私隐政策。实际上，香港很多与互联网有关的行业实行私隐政策。这些私隐政策既适合其业务，又获顾客接受。这样或可缓解与互联网有关的新行业的发展可能遭窒碍的问题，取得互联网发展所需的灵活性。[5]

折衷模式对数据处理者进行规管，但不是直接立法规管，而是明确规定，数据处理者若采用订明个人数据的使用、保安及保存的私隐政策，则应该履行该等私隐政策相关规定。[5]凡不遵守本身私隐政策规定的数据处理者，私隐专员会对其采取执法行动，包括送达执行通知。[5]这样，数据处理者便可采用适合其本身业务的私隐政策，并可明确知道其法定责任与本身的私隐政策吻合。[5]不少数据当事人及与互联网有关的行业，都熟悉行业内私隐政策方面的自我规管机制，而事实证明这个机制是切实可行的。[5]

有关私隐政策可能过于宽松的问题是可以解决的。因为数据使用者挑选的数据处理者如采用过于宽松的私隐政策，则数据使用者便会违反其在私隐条例下的责任。[5]

香港最终仍然采用间接规管模式，但新增加了数据使用者的责任。2012年10月1日修订的新私隐条例仍然坚持区分数据使用者和数据处理者，仍然只直接规定了数据使用者本身的责任。虽然立法咨询文件提出直接规管数据处理者等建议，但经过多方咨询后，并没有采用这些建议。数据处理者仍然不需要承担私隐条例上的直接责任。[8]香港新增规定，数据用户须采取合约规范方法或其他方法，以防止①转移予该数据处理者的个人数据的保存时间超过处理该数据所需的时间；[10]②转移予该数据处理者作处理的个人数据未获准许或意外地被查阅、处理、删除、丧失或使用。[11]香港这两个新增规定，更加切合国际的普遍做法，适当填补了法律上的空白，加强了个人数据的保障。

(一)限制保存时间

第①点是保障数据第2原则的体现，并被新增为第2原则的第(3)分项。第2原则规定了个人数据的准确性及保留期间。该原则要求，数据使用者须采取切实可行的步骤确保个人数据的准确性，并在完成数据的使用目的后，删除数据。[12]第2原则(1)和(2)分别规定了：(1)数据使用人须采取所有切实可行的步骤，以确保数据在保存、使用和披露时准确无误; (2)个人数据的保存时间,不得超过将其保存以贯彻该等数据被使用或会被使用的目的所需的时间。[1]新增的第(3)款规定，“在不局限第(2)款的原则下，如数据用户聘用(不论是在香港或香港以外聘用)数据处理者，以代该数据用户处理个人数据，该数据用户须采取合约规范方法或其他方法，以防止转移予该数据处理者的个人数据的保存时间超过处理该数据所需的时间。”

(二) 禁止未获准许的查阅、处理、删除、丧失或使用

第②点是保障数据第4原则的体现，并被新增为第4原则的第(2)款。第4原则规定了个人数据的保安。该原则要求，数据使用者须采取切实可行的步骤确保个人数据的保安，免受未获授权或意外的查阅、处理、删除、丧失或使用所影响。[13]新增的第(2)款规定，“在不局限第(1)款的原则下，如数据用户聘用(不论是在香港或香港以外聘用)数据处理者，以代该数据用户处理个人数据，该数据用户须采取合约规范方法或其他方法，以防止转移予该数据处理者作处理的个人数据未获准许或意外地被查阅、处理、删除、丧失或使用。”

数据使用者采取措施，禁止数据处理者将个人数据传达给其他人，这一点是至关重要的。[3]特别是，数据使用者有时候并不能控制数据处理者如何处理个人数据。[3]因此，私隐专员认为，数据使用者必须确保，在与数据处理者签订的合同中，包含了禁止条款。数据使用者也必须尽可能安排所有的个人数据由自己管理，将数据丢失的风险降到最低。[14]

(三)通过合约或其他方法规管

香港个人数据私隐专员公署指出，数据使用者可以通过合约施加的责任一般有：(a) 数据处理者采取的保安措施一般应与数据使用者一样；(b) 数据处理者不再需要就受托目的处理个人数据时，应当交换、销毁或删除有关数据；(c) 数据处理者不得为除受托目的除外的其他目的而使用或披露个人数据；(d) 绝对或有限制(例如，除非数据使用者同意)禁止数据处理者再次服务分判；(e) 如果再次分判，在数据处理者与分判商的合同中，分判商承担的责任，应该与数据处理者承担的责任相一致；如果分判商未能履行责任，数据处理者应该对数据使用者负完全的违约责任；(f) 数据处理者必须即时报告保安违规情况或任何不寻常的征兆(例如，审核追踪记录显示某职员在非正常时间段不寻常地频繁地查阅个人数据)；(g) 列明数据处理者必须采取的措施(例如，已制定个人数据保障政策和程序，以及向相关职员提供足够的培训)；(h) 数据使用者有权审核及视察数据处理者如何处理及储存个人数据；(j) 违约责任。[4]

以上并非穷尽式的列举。数据使用者可以根据实际情况，调整或增加对数据处理者的责任。数据使用者可能需要考虑的因素有，个人数据的数量、敏感程度、聘用的处理服务的性质、数据泄露可能造成的伤害等。[4]

条例并没有对“其他方法”进行直接定义。因为数据使用者在某些情况下有可能未能与数据处理者签订保障受托个人数据的合同。所以，条例提供了弹性空间，允许以其他方法遵从规定。保障数据第2(3)及4(2)原则都没有对“其他方法”进行定义。香港个人数据私隐专员公署指出，一般而言，数据使用者可采用非合约形式的监督和审核机制，以监察数据处理者遵循保障数据规定的情况。[4]可采取的措施包括：(a) 数据使用者应选取信誉良好、能在技术能力及数据处理的管控措施方面提供足够保证，及在数据保障方面具有良好过往记录的数据处理者；(b) 为确保数据处理者时刻妥善保管受托处理的个人数据，及不会保留数据超过所需时间，数据使用者必须对数据处理者已制定健全的政策及程序方面(包括足够的员工培训及有效的保安措施)感到满意；(c)数据使用者也应有权审核及视察数据处理者如何处理及储存个人数据，并在有需要时行使有关权利。[4]

上述措施并非穷尽的，数据使用者可以采取其他措施，以遵从规定。数据使用者应选择及采用有效方式，并予以妥善记录。因为，当接到投诉时，私隐专员将考虑数据使用者所采取的所有措施的有效情况。[4]

随着信息技术的飞速发展，个人信息保护已成为我国迫切需要解决的问题。目前，我国已逐步颁布与个人信息保护相关的法律法规。2012年12月28日，全国人大常委会通过了《关于加强网络信息保护的决定》，规定了网络服务提供者的义务和责任，并赋予政府主管部门采用必要措施的权力。但该决定仅仅涵盖了网络服务提供者，且规定较为简单。2013年2月1日，我国首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》实施。2013年9月1日，工业和信息化部施行了《电信和互联网用户个人信息保护规定》。各地也开始制定相关的个人信息保护条例，例如广州市提出《广州市公民个人信息保护条例》专家立法建议稿。然而，这些已出台的规定相当零散且不系统，适用性不强，仍无法根除个人信息保护遭遇法律尴尬的现状。我国迫切需要出台，完整的个人信息保护法和与其配套的相关规定。

我国2013年9月1日起施行的《电信和互联网用户个人信息保护规定》采用的是间接规管模式。根据民法上的委托代理制度，应该由委托人承担直接的法律上的责任。随后，委托人可根据合同，再追究受托人的违约责任。此次出台的文件规定，由电信业务经营者、互联网信息服务提供者负责管理其代理商的个人信息保护工作。第十一条规定：“电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作，涉及收集、使用用户个人信息的，应当对代理人的用户个人信息保护工作进行监督和管理，不得委托不符合《规定》有关用户个人信息保护要求的代理人代办相关服务。”且第十三条第(三)款特别指出，电信业务经营者、互联网信息服务提供者应对代理人进行安全保障措施方面的监督管理，应对其工作人员及其代理人实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施。

这个规定仅仅是起步。我国需进一步制定全面完整的个人信息保护法和相关规定。在制定相关法律法规时，我国应该考虑施加的责任在整体上会对机构，特别是对信息科技界将造成的影响。需要考虑的因素有：(a)利益平衡。个人信息权不是绝对的。必须平衡个人信息权与其他权利；平衡个人信息权与某些公众及社会利益；平衡个人数据保障与正常商业运作；平衡个人信息保护与网络信息流通自由。(b)规则灵活。为通讯科技持续发展预留空间。需要确保在科技转变中，个人信息保护法仍具弹性。立法干预未必一定是最有效方法。在某些情况下，推行行政措施可达到保障个人数据私隐的效果。(c)措施可行。制定的措施在不同行业中都是合理可行的。规管的范围必须足以构建全面的保护网，但又不会将无关对象纳入规管范围。(d)社会共识。应立足于社会对私隐课题有相当程度的共识，并借鉴现行的国际规管标准和做法。[5]

鉴于直接规管模式可能难以施行，间接规管模式应该相对合适。同时，我国还应该出台类似香港的相关指引，为数据使用者提供具体指导和参考。不同于香港，内地目前相关行业的隐私政策很不完备。我国还应该鼓励引导数据处理者制定和实施相关隐私政策。

参考文献

（请向下滑动）

脚注文献

[1] 张金城,廖永威. 香港个人数据隐私保护之经验——兼论我国个人数据保护法之制定[J]. 河北法学, 2008, 26(11): 85-89.

[2] 香港个人数据私隐专员公署. 认识个人数据保障[M]. 香港:香港个人数据私隐专员公署, 2002.

[3] Officeof the Privacy Commissioner for Personal Data. Data Protection Principles inthe Personal Data (Privacy) Ordinance–from the Privacy Commissioner’sperspective [M]. Hong Kong: Office of the Privacy Commissioner for PersonalData, 2010: 1-2, 69.

[4] 香港个人数据私隐专员公署. 外判个人数据的处理予数据处理者[Z]. 2012-09.

[5] 政制及内地事务局. 检讨《个人数据(私隐)条例》的咨询文件[Z]., 2009-08. 19-28

[6] GrahamGreenleaf. Making Hong Kong's data protection law effective [J]. ALTA LawResearch Series, 2009: 20.

[7] RoderickB. Woo. Hong Kong, Review of the Hong Kong Personal Data (Privacy) Ordinance:From the perspective of Hong Kong Privacy Commissioner [R], 2010: 4.

[8] GabrielaKennedy. The Hong Kong Personal Data (Privacy) Ordinance Has Been Amended: AreYour Data Protection Practices and Policies Adequate? [J]. Computer Law &Security Review, 2012(28): 600-610.

参考文献

[1] [美]罗斯科·庞德. 余履学译. 法理学·第一卷[M] . 北京:法律出版社,2007, 序4。

[2]香港《个人数据(私隐)条例》(第486章)第2条，由2012年第18号《2012年个人数据(私隐)(修订)条例》第2条修订。

[3]香港《个人数据(私隐)条例》(第486章)附表1第2(4)条，由2012年第18号《2012年个人数据(私隐)(修订)条例》第40条增补。

[4]香港《个人数据(私隐)条例》(第486章)第2(12)条规定：“如某人纯粹代另一人持有、处理或使用的任何个人数据，而该首述的人并非为其任何本身目的而持有、处理或使用(视属何情况而定)该数据，则(但亦只有在此情况下)该首述的人就该个人数据而言不算是数据用户。”

[5] European Parliament and CouncilDirective 95/46/EC of 24 October 1995 on the protection of individuals withregard to the processing of personal data and on the free movement of such data[Official Journal L 281 of 23.11.1995].

[6] Data Protection Act 1998.

[7] The Personal Information Protectionand Electronic Documents Act, S.C. 2000, c. 5.

[8] The Privacy Act 1993, reprint as at2013-07-15.

[9] The Privacy Act 1988.

[10]香港《个人数据(私隐) 条例》(第486章)附表1第2(3)条，由2012年第18号《2012年个人数据(私隐)(修订)条例》第40条增补。

[11]香港《个人数据(私隐) 条例》(第486章)附表1第4(2)条，由2012年第18号《2012年个人数据(私隐)(修订)条例》第40条增补。

[12]个人数据(私隐)条例简介，可见：

http://www.pcpd.org.hk/chinese/ordinance/ordglance.html.

[13]同上。

[14]相关私隐专员调查报告为no. R06-2599,

http://www.pcpd.org.hk/english/publications/files/IPCC_e.pdf.

原文载于《当代港澳研究》2013年第3期

感谢作者对本公众号的授权

本文仅作学习交流之用

Vincent van Gogh · Still Life

编辑：钟柳依

欢迎点击“阅读原文”