*********************
以下為今日(五月三日)在立法會會議上單仲偕議員的提問和民政事務局局長何志平的書面答覆:
問題:
政府可否告知本會,互聯網規約(IP)地址是否屬於《個人資料(私隱)條例》(第486章)所界定的「個人資料」的其中一種;若然,理據為何;若否,政府會否檢討該條例和採取措施,以禁止任何人在未經擁有人授權下向第三者披露其IP地址?
答覆:
主席女士:
根據《個人資料(私隱)條例》(私隱條例)第2(1)條,「個人資料」指符合以下說明的任何資料:
(a)直接或間接與一名在世的個人有關的;
(b)從該等資料直接或間接地確定有關的個人的身分是切實可行的;及
(c)該等資料的存在形式令予以查閱及處理均是切實可行的。
私隱條例下有關「個人資料」的定義,與其他司法管轄區如澳洲和新西蘭的保障資料法例的定義相若。歐洲聯盟頒布的《保障個人資料以及個人資料自由流通指令》對「個人資料」亦作出相似的界定。
互聯網規約(IP)地址是網站瀏覽者的互聯網服務供應商編配給該使用者的電腦的特定機器地址,屬指定的電腦所獨有。只有IP地址並不能顯示有關電腦的準確位置或電腦使用者的身分。因此,個人資料私隱專員(專員)認為,IP地址似乎不符合私隱條例中「個人資料」的定義。雖然如此,IP地址加上其他資料是否構成條例下的「個人資料」,則視乎個案的具體情況而定。
香港的互聯網服務供應商必須領取由電訊管理局局長(電訊局長)根據《電訊條例》發出的公共非專利電訊服務牌照。該牌照的特別條件第7項對互聯網服務供應商客戶的資料(有關資料可能屬於或不屬於私隱條例中的個人資料)提供保障,當中訂明:
(a)除非客戶以電訊局長批准的形式同意,或為防止或偵查罪行、逮捕或檢控罪犯,或獲任何法律授權或根據任何法律獲授權,否則持牌人不得披露該客戶的資料;
(b)持牌人不得使用客戶提供的資料或在向客戶提供有關服務的過程中取得的資料,除非使用有關資料是為客戶提供服務或與持牌人提供的服務有關。持牌人如違反牌照條件可被罰款,在特殊情況下更會被撤銷牌照。
本港的互聯網服務供應商受私隱條例規管。互聯網服務供應商作為個人資料使用者,須遵守保障資料原則3的規定,該項原則規定在未得資料當事人的訂明同意下,不得把個人資料用於有別於收集該等資料的目的(或直接相關的目的),披露或傳送個人資料亦受上述限制。
正如上文第二段解釋,單憑IP地址並不能追查電腦的準確位置或電腦使用者的身分。要追查曾經在特定時間使用特定IP地址的用戶(即使用撥號上網服務的客戶)或電腦使用者(指專用線路或寬頻客戶)的地址,必須取得有關的IP地址、使用該IP地址的時間,以及互聯網服務供應商分配該IP地址的記錄。私隱條例的條文以及發給互聯網服務供應商的公共非專利電訊服務牌照的有關牌照條件,應足以禁止互聯網服務供應商在未獲授權情況下披露所收集的資料。
專員現正深入研究可否把IP地址視為屬於私隱條例的「個人資料」。除了參考本港和海外法庭有關「個人資料」的司法決定之外,專員亦向其他司法管轄區的私隱專員查詢當地法例中「個人資料」的涵蓋範圍,並就「個人資料」涵蓋範圍的相關事宜,徵詢資深大律師的專業意見。假如專員的研究結果顯示,IP地址應視作私隱條例下的「個人資料」,則披露這類資料便會受到私隱條例規管。
完
2006年5月3日(星期三)
香港時間12時52分
