*********************
以下为今日(五月三日)在立法会会议上单仲偕议员的提问和民政事务局局长何志平的书面答覆:
问题:
政府可否告知本会,互联网规约(IP)地址是否属於《个人资料(私隐)条例》(第486章)所界定的「个人资料」的其中一种;若然,理据为何;若否,政府会否检讨该条例和采取措施,以禁止任何人在未经拥有人授权下向第三者披露其IP地址?
答覆:
主席女士:
根据《个人资料(私隐)条例》(私隐条例)第2(1)条,「个人资料」指符合以下说明的任何资料:
(a)直接或间接与一名在世的个人有关的;
(b)从该等资料直接或间接地确定有关的个人的身分是切实可行的;及
(c)该等资料的存在形式令予以查阅及处理均是切实可行的。
私隐条例下有关「个人资料」的定义,与其他司法管辖区如澳洲和新西兰的保障资料法例的定义相若。欧洲联盟颁布的《保障个人资料以及个人资料自由流通指令》对「个人资料」亦作出相似的界定。
互联网规约(IP)地址是网站浏览者的互联网服务供应商编配给该使用者的电脑的特定机器地址,属指定的电脑所独有。只有IP地址并不能显示有关电脑的准确位置或电脑使用者的身分。因此,个人资料私隐专员(专员)认为,IP地址似乎不符合私隐条例中「个人资料」的定义。虽然如此,IP地址加上其他资料是否构成条例下的「个人资料」,则视乎个案的具体情况而定。
香港的互联网服务供应商必须领取由电讯管理局局长(电讯局长)根据《电讯条例》发出的公共非专利电讯服务牌照。该牌照的特别条件第7项对互联网服务供应商客户的资料(有关资料可能属於或不属於私隐条例中的个人资料)提供保障,当中订明:
(a)除非客户以电讯局长批准的形式同意,或为防止或侦查罪行、逮捕或检控罪犯,或获任何法律授权或根据任何法律获授权,否则持牌人不得披露该客户的资料;
(b)持牌人不得使用客户提供的资料或在向客户提供有关服务的过程中取得的资料,除非使用有关资料是为客户提供服务或与持牌人提供的服务有关。持牌人如违反牌照条件可被罚款,在特殊情况下更会被撤销牌照。
本港的互联网服务供应商受私隐条例规管。互联网服务供应商作为个人资料使用者,须遵守保障资料原则3的规定,该项原则规定在未得资料当事人的订明同意下,不得把个人资料用於有别於收集该等资料的目的(或直接相关的目的),披露或传送个人资料亦受上述限制。
正如上文第二段解释,单凭IP地址并不能追查电脑的准确位置或电脑使用者的身分。要追查曾经在特定时间使用特定IP地址的用户(即使用拨号上网服务的客户)或电脑使用者(指专用线路或宽频客户)的地址,必须取得有关的IP地址、使用该IP地址的时间,以及互联网服务供应商分配该IP地址的记录。私隐条例的条文以及发给互联网服务供应商的公共非专利电讯服务牌照的有关牌照条件,应足以禁止互联网服务供应商在未获授权情况下披露所收集的资料。
专员现正深入研究可否把IP地址视为属於私隐条例的「个人资料」。除了参考本港和海外法庭有关「个人资料」的司法决定之外,专员亦向其他司法管辖区的私隐专员查询当地法例中「个人资料」的涵盖范围,并就「个人资料」涵盖范围的相关事宜,征询资深大律师的专业意见。假如专员的研究结果显示,IP地址应视作私隐条例下的「个人资料」,则披露这类资料便会受到私隐条例规管。
完
2006年5月3日(星期三)
香港时间12时52分