東周刊的案例:區別資料私隱和個人私隱
私隱條例只保障資料私隱,不保障個人私隱,在東周刊一案中說得相當清楚。事緣東周刊偷拍一位在街上行走的女士照片,又在未有知會或取得相中女士同意下,將照片刊登在東周刊報導內容之內,並且說三道四地指相中女士衣著品味差勁。事件被投訴至個人資料私隱專員那裡,經調查後,專員指東周刊違反私隱條例第一條資料保護原則,沒有公平地向相片女士搜集個人資料。
在東周刊拍照案件中,上訴法院認為私隱專員的定決錯誤。並且對類似的偷拍事情下了十分重要的裁決。上訴法院指出,東周刊的行為並不屬於收集個人資料,因此條例中的第一條資料保護原則並不適用,法院並且特別指明,條例所保障的只限於資料私隱權(information privacy),不是個人私隱權(personal privacy),東周刊偷拍女士的事件屬個人私隱性質,而私隱條例只保障資料私隱。
在防止個人資料受到濫用的事情上,私隱專員具備舉足輕重的位置,判決被法院裁訂為錯誤,除了打擊私隱專員的威信之外,還打擊了專員的信心。實情上,私隱條例在不少的關鍵內容上具備模糊或灰色地帶,在六項個人資料保護原則,用了「必需」(necessary)、「不超乎適度」(excessive)、「公平」(fair)或「合理」(reasonable)的字眼。固然,這些字眼是必須的,因為現實處境紛芸眾多,各有不同,是否「必要」、「適度」、「公平」、「合理」與否,極之處境性(contextual)。但這亦令法例弊病叢生,令人難以找到準則的所在。例如是「必要」,在電子商貿的交易活動中,特別是商業到消費者(B to C)的模式中,電子行銷(electronic marketing)或個別行銷(personal marketing),甚為重要,網上商人收集各類的個人資料,如姓名、出生年月日、性別、收入、職業、教育程度、婚姻狀況、以至子女數目和年齡,這些資料對商業行銷都具備或多或少的關連。那麼,倘若網上商人在其個人資料收集聲明中指出,出生年月日是方便網上商人向客戶提供生日時的優惠或獎賞,就可以被稱得上是合理嗎?只要向資料當事人說得出用途和目的,便算得上是「合理」和有「必要」嗎?然而,資料保障原則同時間規定收集資料不應「超乎適度」(excessive),「合理」和「有需要」會否等如不「超乎適度」呢?如何恰當收集,使用和處理個人資料,並不是一個靠常識便可處理的問題。要取得合適而可靠的答案,是要對各項原則作相當充份的掌握,並能夠加以分析。這顯然並不是一般中小企業可以辦得到的。
但是,私隱條例適用於任何的公私營機構和政府部門,企業即使是細小得只得三、四人,並無任何豁免,或受到較為寬鬆的處理。即使是大企業,亦未必能夠在處理個人資料上表現得可取和合理。