簡介

最近在香港特別行政區 訴 陳景僖DCCC 164/2020一案中，區域法院裁定，未經授權取用因受僱而接觸到的資料，可構成香港法例第200章《刑事罪行條例》第161條下的「目的在於使其本人或他人不誠實地獲益而取用電腦」罪行，亦違反香港法例第486章《個人資料（私隱）條例》（《私隱條例》）第64條下的「披露未經資料使用者同意而取得的個人資料」。這是法院首次就起底行為（即惡意搜尋並公開傳播私人或能夠辨識身份的資料）違反《私隱條例》而判刑的案件。

背景

2019年9月22日，被告人被發現以流動電話拍攝警署照片，以涉嫌構成遊蕩罪行而被帶返警署接受進一步調查。

調查期間，警方發現該流動電話安裝了即時通訊應用程式。該應用程式顯示，被告人於2019年9月9日在一個聊天群組發出對警員及其家人起底的訊息。該訊息載有一名警員的家人（「受害人」）的個人資料，包括受害人的香港身份證號碼、中英文全名及電話號碼。

在關鍵時間，被告人受僱於一家電訊公司（「香港電訊」），任職電訊技術員。警方發現，被告人在其受僱工作使用的電腦中儲存了一些警員及其家人的個人資料。該等資料是從香港電訊的資料庫下載的。

控罪

被告人面對的控罪包括：

1. 目的在於使其本人或他人不誠實地獲益而取用電腦，違反《刑事罪行條例》第161條；及
2. 披露未經資料使用者同意而取得的個人資料並導致受害人蒙受傷害（包括心理傷害），違反《私隱條例》第64條。

目的在於使其本人或他人不誠實地獲益而取用電腦

被告人的抗辯理由是他必然知道香港電訊的紀錄會顯示他曾以自己的密碼登入工作電腦以搜尋客戶資料。被告人曾將他從香港電訊的資料庫下載的部分資料以電子方式儲存在其工作及私人電腦，但從未披露有關資料。因此，被告人認為即使他曾取用電腦內的資料，他亦沒有不誠實的意圖或獲益。

然而，法院並不接受此論點。根據HKSAR v Au Yeung Ka Man [2018] HKCFA 23一案，意圖透過取用電腦獲得的益處不必限於「金錢或其他財產的損益」，而是可延伸至「任何損益」。這種得益包括「取用電腦者在取用電腦前沒有的資料」。至於不誠實意圖，法院裁定，若某人知道自己在未經第三方授權下取用資料庫以獲得有關第三方的個人資料作自己的用途，即屬不誠實。

法院亦根據香港特別行政區 訴 庾美瓊 HCMA 898/2002一案駁回被告人的論點。在該案中，法院裁定控方只須證明上訴人在取用電腦時，有意圖不誠實地獲得某些益處，便已足夠。該案的上訴人是一名稅務局文書助理，她承認只是因為無聊、貪玩或好奇，而非為了工作相關的需要而在稅務局的資料庫搜尋個人資料。

本案在審訊時，香港電訊的技術經理作供指，被告人並無需要取用有關資料來執行其職務，而且被告人並無獲授權搜尋該等資料。技術經理亦表示，香港電訊並不容許僱員未經授權搜尋、儲存及披露客戶資料。他確認，被告人明白香港電訊的客戶資料政策並曾參加香港電訊提供的客戶資料培訓。

此外，被告人在入職前向香港電訊簽署了一份保密／知識產權聲明書，當中第3段規定，被告人不會「將 [被告人] 在受僱於 [香港電訊] 期間收到或獲得的 [香港電訊] 資料或與之有關的其他保密或享有特權的資料，披露、利用、洩露或傳達予任何人（根據僱傭合約妥為履行職務除外）」。由於被告人未經授權、亦沒有需要取用該等客戶資料來執行職務，他顯然並非為了工作而取用該等資料。因此，他不應搜尋、取用、儲存或披露從香港電訊的資料庫獲取的資料。

被告人在香港電訊的資料庫搜尋及獲取資料，取得了他在取用電腦之前沒有的資料。因此不論他在取用資料時的意圖是貪玩、核實或阻嚇他人與被告人認為作出了不當行為的人士往來，皆無關重要。無論客觀或主觀而言，被告人均並非在履行其職務，並作出了未經授權的行為，而且違背了香港電訊對他的信任。因此法院裁定，一名合理而誠實的人會認為被告人不誠實並且顯然知道那是不誠實的行為。

故此，被告人被裁定違反《刑事罪行條例》第161條「目的在於使其本人或他人不誠實地獲益而取用電腦」罪名成立。

披露未經資料使用者同意而取得的個人資料

對於被告人未經受害人同意而披露從香港電訊資料庫取得的資料這一點，雙方沒有爭議。但被告人認為，不能肯定其所作的披露是否對受害人造成了心理傷害。受害人的個人資料於2019年9月9日被披露，但受害人於2019年9月7日及8日已知道其個人資料被披露。受害人直至在2019年9月底收到文宣電郵之前一直沒有擔心。

然而，上述論點不獲法院接納。受害人的個人資料顯然於2019年9月9日已被披露。受害人在知道其個人資料被披露之後，開始擔心其人身安全。受害人的心理報告顯示他有心理陰影，而且在其個人資料被披露數月後，其情緒及行為有明顯變化。因此，被告人亦被裁定披露未經資料使用者同意而取得的個人資料，違反《私隱條例》第64條。

影響

本案提醒僱員，因受僱而能夠接觸到的資料只應用於工作用途，而且取用時必須獲得授權，不應為了任何其他原因而取用、搜尋、儲存或披露有關資料。此外，僱員應注意僱傭合約內的保密條款，因為保密責任一般在僱傭關係終止後仍然有效。僱員應留意，不應取去或以任何方式儲存在舊工作中取得的任何保密資料。任何未經授權使用或披露保密資料的行為，均能可招致民事及刑事責任。

另一方面，僱主亦應查看其僱傭合約範本內的保密條款，以確保在一般業務過程中取得的保密資料獲充分保護，並向職員提供培訓，確保他們清楚了解自己的保密責任。