随著科技进步,骇客入侵、木马程式等攻击网站事件已不再是奇闻,个人资料外泄的可能性也大幅度增加。有些国民总会莫名其妙接到一些产品推销或促销的电话或垃圾电邮,令人担心平时登记所用的个人资料,是否已经被转售给第三方,并有可能涉及不法用途。
不过,我国国会已在2010年通过《个人资料保护法令》,并在去年杪正式生效。这项法令旨在管制商业交易中的个人资料处理、使用及储存。今次“东方上电台”我们邀请执业律师罗丽君,为我们详谈《个人资料保护法令》的执行内容。
《个人资料保护法令》的实施,使所有个人资料使用者必须重新检视保护个人资料的政策及程序。
其中11个领域的资料使用者更必须向个人资料保护局(JPDP)注册,否则可能会面对不超过50万令吉的罚款,或不超过3年的监禁,或两者兼施。
在这11个领域包括通讯、银行及金融机构、保险、医疗保健、旅游及酒店、交通、教育、直销、服务、房地产及公用设施。
不过,执业律师罗丽君指出,这项在去年11月15日已经生效的法令,却有很多不完善的地方。“由于有些内容并没有获得完整诠释,同时欠缺实况考量,导致个人资料使用者面对很多执行上的负担和限制。”
虽然个人资料保护委员会已经草拟指南,协助受影响的单位落实执行,但有关指南仍有诠释不清楚的地方。
注册每24个月更新
例如,个人资料保护局将依据相关公司的规模,向个人资料使用者征收注册费用,即个人公司(Pemilikan Tunggal)每年必须缴付100令吉、合伙公司(Perkongsian)200令吉、私人有限公司(Sendirian Berhad)300令吉,以及有限公司(Syarikat Awam Berhad)400令吉。
按照规定,资料使用者的注册将于每24个月更新,惟该指南并没有清楚表明,24个月之后要如何更新,以及更新时还要付多少钱。
我国是东南亚首个落实《个人资料保护法令》的国家。不过,新加坡也已在2012年通过类似的法案,而且更为完善。
罗丽君说,根据个人资料保护的7大原则,任何资料使用者需要在使用个人资料以前,征求有关资料拥有人的同意,而且必须以马来文或英文的书面方式进行。
“但在紧急状况下,资料使用者可不需获得拥有人的同意而使用其资料,但在马来西亚,使用者依旧要出示书面通知书,这在实际运作上会带来庞大的工作量、资金耗费与不便。”
中小企业未关注
她说,新加坡在通过这项法令之后,仍保留18个月的缓冲期,同时透过电视或广告宣传,使新加坡国民都知道个人资料保护的重要性与执行方式。
但在马来西亚,相关单位的宣传少之又少。法令在2010年通过以后,不但一直拖延到2013年年底才实施,宣布实施时又要求受影响的11个领域单位,必须在今年2月15日为止,也就是3个月内进行注册。
“有些大公司在法律顾问的提醒下已经了解了有关状况并进行注册,但许多相关领域的中小型企业,可能还未留意到这项法令的重要性。”
罗丽君也呼吁,如果民众发现接到不明的促销电话或电邮,疑是个人资料遭到非法利用或外泄,可向个人资料保护委员会投诉。
个人资料保护委员会的地址是Level 6, Komplek KKMM. Lot 4G9, Persiaran Perdana, Presint 4. Pusat Pentadbiran Kerajaan Persekutuan. 62100 Putrajaya。
电话号码是03-89117924/7393/7920,或电邮至pcpdp@pdp.gov.my。更进一步资讯,可参考他们的网页:www.pdp.gov.my。
嘉宾开讲:资料外泄商业交易可被提控
罗丽君强调,《个人资料保护法令》并不是隐私保护法。“这项法令只保护了一定程度的隐私,即商业交易中被取用的个人资料。如果在商业交易之外,如政治或慈善活动涉及的个人资料,则不在这项法令的保护范围内。”
她说,加拿大虽然也有类似的《个人资料保护法令》,仅限于保护商业交易涉及的个人资料,但他们却同时拥有《隐私保护法》。
“在英国和香港,《个人资料保护法令》涵盖了政治或慈善等各方面。在澳洲,《个人资料保护法》甚至是隐私法的一部分。”
不过,罗丽君进一步解释,如果有关个人资料本提供于慈善组织作为非商业交易用途,但外泄后被用于商业交易上,那么有关个人资料使用者也会因为涉及非法使用个人资料,而可能被提控。
另一种情况是,有些公司作为资料使用者(Data User),会将资料拥有人(Data subject)的资料交由第三方、即资料处理者(Data possessor)处理。不过,法令却认为资料使用者必须对其交由第三方处理的个人资料负全责。
“如果有关个人资料不小心外泄,最后要负责的还是资料使用者。因此律师一般会建议资料使用者与资料处理者立下合约,以阐明彼此的法律责任。”
罗丽君也表示,虽然个人资料保护委员会要求11个领域的单位必须向有关方面注册,但在有关领域之外、涉及将个人资料作为商业交易用途的资料使用者,依然受到有关法律的限制。
“政府目前并没有要求他们(11领域之外的其他单位)一定要进行注册,如果需要,他们将会制定新条例。”
听众来电:使用者须确保资料正确最新
由于个人资料保护的7大原则也表明,个人资料使用者必须确保其手头上的资料是正确,而且是最新近况。
因此,一名听众私下来电询问,中央信贷参考资讯系统(CCRIS)如果没有更新资料,或资料不齐全,可否向个人资料保护委员会投诉?
执业律师罗丽君简单地回答,虽然她了解有关系统资料不更新,会导致部分人士面对贷款与信誉的问题,但法令已经明文规定,这些机构完全不受到个人资料保护法令的影响。
除了中央信贷参考资讯自通,信贷服务情报私人有限公司(CTOS)也是同样不受到影响的单位之一。
不过,他们却受到《信贷诚信法》的管辖与限制。
政府单位不受法令限制
除此之外,有关法令也声明,联邦政府及州政府将不会受到《个人资料保护法》的限制。罗丽君说,虽然政府部门是储蓄最多个人资料的单位,但他们并没有受到有关法律的影响。
通讯及多媒体部长拿督斯里阿末沙比里表示,政府部门也必须和私人机构一样,自行设立网路安全设备,避免资料外泄,尽管这必须付出更高的开支。
至于非政府组织方面,部分以商业注册的团体是否会受到这项法令影响?罗丽君表示,虽然他们没有涉及盈利及业务,但如果向会员征用个人资料作为交易用途,就会受到法令管辖。
“如果他们只是征收善款,这将被列为慈善活动的一部分,就不会受到个人资料保护的7大原则限制。”
据悉,个人资料内容涉及个人的姓名与地址、身份证号码、护照号码、健康资讯、电邮、照片、闭路电视的影像、银行户头资料、信用卡资讯、敏感的健康资料如血型、病例,甚至是政治取向、宗教信仰、身体与精神健康状况。
一旦被取用于商业交易用途,个人资料使用者就会受到法令限制,而且必须在使用前获得资料拥有人的同意。
要求签名核准
“律师一般会劝告公司,明确取得资料拥有人的书面同意,包括要求对方签名核准。否则无法确认对方是否同意,未来可能带来法律上的问题。”
罗丽君表示,如果资料拥有人过去一直使用某公司的服务,该公司只需确认对方已经了解此法令保护即可,不需再寻求书面同意。因为,对方已使用有关服务多年,显然已同意其个人资料被使用。
“如果资料使用者要将有关资料用在其他服务上,则需另提供服务通知书,否则也会受到法律的管制。”
销毁资料没期限 建议客户依法执行
罗丽君批评,《个人资料保护法令》虽然声明,资料使用者在使用完有关个人资料后,就必须要将其销毁,但却没有说明要在什么期限内销毁。
“由于法令或指南都没有说明期限,我们通常会建议客户根据相关法令来执行。”
例如,一个雇员离职后,有关公司可依据劳工法令,将其资料保留6年才删除。一般通讯公司在客户停止使用之后,可以依据相关法令,将其资料保存7年。
如果客户希望他们的个人资料在停止服务后删除,可以直接打电话要求该公司处理,通常对方必须要遵守,或无法遵守的话,他必须会有适当的理由。
“法令已明文规定资料使用者必须在21天内回应资料拥有人的要求,否则便会触犯法令。”
罗丽君也说,如果资料使用者无法提供合理的理由,资料拥有人又掌握足够证据,证明有关使用者并没有尊重其意愿,资料拥有人可向个人资料保护委员会投诉。
“你只要把日期记录下来,连同书面副本、录音等资料递交给委员会便可进行投诉。”她说,即使无法预录取得语音资料,也可以记录下通话时间,再交由委员会进行调查。
罗丽君在主持人苏进川询问时也表示,法令并没有明文规定个人资料保护局公开已注册的公司名单,虽然其他国家会这么做。
“但重点并不是有关公司有没有注册,只要资料拥有人发现不妥,就可以准备资料向委员会进行投诉。”
开讲嘉宾:执业律师罗丽君
电台主持人:邓佩银、苏进川