限制公司登記冊披露個人資料將有助遏止「起底」

公司登記冊新查冊安排

政府建議由今年起至2023年,分階段實施公司登記冊新查冊安排,該項建議自3月起已獲廣泛討論和宣傳。早於2012年重寫《公司條例》(第622章)時,當中的相關條文,包括第47、第49至第59條,已訂明了新的查冊安排。然而,由於當時持份者有不同意見,這些條文在2014年並沒有實施。

根據政府建議的時間表,在相關附屬法例通過後,新查冊安排將分階段實施:

(i) 由2021年8月23日起,公司可不提供其登記冊中董事的通常住址及董事和公司秘書的完整身分識別號碼予公眾查閱;

(ii) 由2022年10月24日起,公司註冊處將不提供所有提交作註冊的文件中的董事、公司秘書和清盤人等的通常住址及完整身分識別號碼予公眾查閱;及

(iii) 由2023年12月27日起,有關人士可向公司註冊處申請,不提供在2022年10月24日之前已向公司註冊處登記的文件內的通常住址及完整身分識別號碼予公眾查閱。

新查冊安排主要旨在避免公眾不受限制地獲取公司登記冊中個別公司高級人員的通常住址及完整身分識別號碼。在新安排下,公衆只能查閱新註冊的所有文件中(i)董事的通訊地址及(ii)董事、公司秘書和其他相關人士的部分身分識別號碼。除非在某些情況下,根據《公司條例》或法院的命令,公司註冊處可以披露此類信息。否則只有附屬法例中所指明的不同類別的機構或人士(「指明人士」)在向公司註冊處提出申請後,才可查閱這些個人的通常住址及完整身分識別號碼。

立法歷史

建議實施的公司登記冊新查冊安排可追溯至2009年,當時作為重寫《公司條例》工作的一部分,政府就《公司條例草案》草擬條文徵詢公眾意見。在2009年12月,政府於《公司條例草案》擬稿第一期諮詢當中就應否繼續提供公司登記冊中的公司高級人員的通常住址及完整身分識別號碼供公眾查閱,徵詢公眾意見。

事實上,為重寫《公司條例》而成立的諮詢小組和公司法改革常務委員會於2007/08年和2012/13年討論和審議了擬議的變更,委員普遍反應正面。

因此,反映新查冊安排的條文被納入《公司條例草案》供立法機關審議,而載有上述條文的新《公司條例》已於2012年7月獲通過成為法例。

儘管如此,由於相關持份者缺乏共識,在主體法例制定後,政府於2013年並沒有把草擬的《公司(住址及身分識別號碼)規例》提交立法機關。

為進一步加強對公司登記冊內個人資料的保障,政府在今年較早時候重提有關建議。

個人資料私隱專員支持新安排

從保障個人資料私隱的角度來看,我歡迎和支持建議的新查冊安排,新查冊安排無疑會加強對公司登記冊所載的個人資料的保障。

事實上,現行的建議反映了個人資料私隱專員公署於2015年7月就政府部門及公營機構管理的公共登記冊進行調查的報告中所作的建議。


其中,我們建議公共登記冊的營運者在向公眾提供敏感性質的個人資料(例如身分識別號碼和住址)時,應考慮以較不侵犯私隱的方式公開披露資料,例如提供部分而不是完整的身分識別號碼,以及提供通訊地址而不是完整的住址。

我很高興見到,上述建議已被納入擬議的新安排。

與某些界別人士的觀點相反,考慮到自2019年中以來「起底」案件的數量大幅增加,以及過去兩年涉及非法使用個人資料進行網絡犯罪和電話詐騙的趨勢有所惡化,我認為政府的建議在香港現時的情況下尤為重要。加上數碼化迅速發展,現時可輕易從公共領域,如網上平台、互聯網搜索、公共登記冊等收集不同類型的個人資料,令情況更加惡化。值得注意的是,若從公共領域可取得的個人資料可以在沒有適當保護措施的情況下披露,或在違反收集資料的原本目的的情況下使用該等資料,均可能對私隱構成重大風險,因而令資料當事人的利益受損,尤其當現時任何人士均可相對容易地從公共登記冊獲取一些敏感的個人資料(例如完整的身分識別號碼和住址)。

就這方面,我極度關注個人資料已被香港某些人士武器化,以各種各樣的理由用於恐嚇、傷害他人,或令他人噤聲。

2019年年中以來,香港出現了一股「起底」風氣,挑戰着道德和法律底線,令人髮指。由2019年6月至2021年5月期間,公署處理了超過5,700宗與「起底」相關的投訴和經我們網上主動巡查所發現的個案。在這些個案中,905宗涉及不當披露受害者的身份識別號碼及/或住址。這些數字充分說明,我們應該立即採取有效行動,終止這個情況。

正如高等法院首席法官潘兆初法官所言,「若我們仍然以香港是一個法治的文明社會而自豪,那麼在香港就不應該也不能容忍『起底』……大規模的『起底』所造成的損害不只限於受害者,它嚴重危害我們整個社會……若不限制『起底』行為,它點燃的不信任、恐懼和仇恨之火將會很快消耗公眾對法律和社會治安的信心,導致我們的社會崩潰。」

就此,政府即將就修訂《個人資料(私隱)條例》(第486章)提出建議,以引入「起底」罪行及增加我在條例下的執法權力,以更有效地處理「起底」案件。但我認為,加強對公共登記冊所載的個人資料的保障,將有助於從根源解決問題。而採取措施為公司登記冊上的敏感個人資料提供更多保障的,並不只香港。

海外司法管轄區的類似安排

在討論香港的新查冊安排時,參考其他司法管轄區的類似安排,對我們考慮新安排有所幫助。例如英國公司註冊處實行的制度,當中跟政府提出的新查冊安排相似。英國公司登記冊中並無載有公司高級人員的個人身份號碼供公眾查閱,且近十多年來,只有他們的通訊地址(或稱為送達地址)獲公開。而董事的住址則保存在另外一查閱受到限制的登記冊中。

同樣地,在新加坡,雖然公司高級人員的完整新加坡身分證(Singpass)號碼會被披露,他們可提供替代地址,而非住址,以作在公司登記冊中披露之用。在澳洲,雖然登記冊上沒有身分證件號碼,但在特定情況下登記冊可以包括替代地址:例如,當澳洲證券和投資委員會認為把住址納入公共紀錄,會令有關人士及/或其家人的人身安全受損。

因此,監管機構在有需要時採取措施,加強對公共登記冊中敏感個人資料的保障,並不罕見。

可在公共領域取得的個人資料享有相同法律保障

我們必須明白,可在公共領域獲取的個人資料,與從任何其他來源獲取的個人資料一樣,受到《個人資料(私隱)條例》保障。儘管有些個人資料可從公共登記冊查閱和獲取,但資料的使用僅限於查閱相關登記冊的目的。

《個人資料(私隱)條例》附表一的保障資料第3原則(限制使用原則)規定,如無有關的資料當事人的訂明同意,個人資料不得用於新目的。因此,使用從公共登記冊獲取的個人資料,若與資料提供予公眾的原本目的不同或並不直接相關,而未經資料當事人的訂明同意(或在例外情況下,根據《個人資料(私隱)條例》獲豁免),即違反保障資料第3原則。

根據《個人資料(私隱)條例》,從公共登記冊獲取的個人資料,不應用於非法目的,包括「起底」。

取得合理的平衡

在提倡保障個人資料私隱的重要性的同時,我認同就《公司條例》第45條所臚列的合法目的查閱公司登記冊的重要性。

不同持份者對擬議的新查冊安排提出了不同的關注並不令人感到意外。我認為,大多數關注都與可能出現的混淆(即使是輕微的混淆)有關,即為作法證調查、盡職審查或其他合法目的而進行查冊時,可能因為缺乏完整的身分識別號碼和住址而無法準確地識別有關人士。

在撰寫本文時,政府已作出回應,改善了原本建議。例如,擴大指明人士的範圍以涵蓋律師和外地律師、執業會計師、信託或公司服務持牌人等;提供個別人士出任不同公司董事的資料;以及當披露部分身分識別號碼導致搜索結果出現混淆時,引入行政措施(例如提供身分識別號碼中更多數字),以消除混淆。

毋庸置疑,政府提出這些改善或額外措施,是為了釋除對新查冊安排可能引起混淆的疑慮,嘗試在保障個人資料私隱與為合法目的查閱公司登記冊之間,取得合理平衡。然而,我認為新安排應避免進一步擴大當中不受限制查閱的範圍,因為這做法可能與原本加強保障登記冊中個人資料的目的,背道而馳。 

Jurisdictions

大律師,香港個人資料私隱專員