香港的「起底」罪行 : 四年回顧

在2021年，香港修訂了《個人資料（私隱）條例》（第486章）（「《私隱條例》」），將「起底」行為定爲刑事罪行。《私隱條例》進一步賦權個人資料私隱專員（「私隱專員」）在必要時進行調查和檢控。

私隱專員於2024年處理了442宗「起底」案件，相比前幾年減少了百分之四十。其中，118宗案件引致刑事調查，共20人被捕。

大部分有關起底行為的申訴涉及財務糾紛以及家庭或感情衝突。四年過後，我們又對「起底」行為了解多少？

何時構成刑事罪行？

「起底」是指未經同意下，惡意或罔顧後果地披露資料當事人的個人資料，以造成傷害或困擾。《私隱條例》將起底罪行分為兩級：第一級屬可循簡易程序審訊的罪行，第二級則屬可循公訴程序審訊的罪行。

第一級罪行

根據《私隱條例》第64(3A)條，任何人若：(1) 未獲資料當事人的相關同意下披露其個人資料，及 (2) 意圖導致該當事人或其任何家人蒙受任何指明傷害，或罔顧是否會造成傷害，即構成第一級罪行。一經定罪，犯罪者可被判罰款港幣$100,000及監禁2年（《私隱條例》第64(3B)條）。

第二級罪行

根據《私隱條例》第64(3C)條，任何人若：(1) 如上述未獲資料當事人相關同意下披露其個人資料，及 (2) 該項披露導致該當事人或其任何家人蒙受任何指明傷害，即構成第二級罪行。一經定罪，犯罪者可被判罰款港幣$1,000,000及監禁5年（《私隱條例》第64(3D)條）。

「指明傷害」的定義？

根據《私隱條例》第64(6)條，「指明傷害」廣泛定義為：

1. 滋擾（例如：纏擾、恐嚇、威脅或騷擾）；
2. 身體或心理傷害；
3. 令人合理地擔心其安全或福祉的傷害；及
4. 財產受損。

起底法例的「個人資料」涵蓋哪種資料？

根據《私隱條例》第2條，「個人資料」指符合以下說明的任何資料：

1. 該資料直接或間接與一名在世的個人有關；
2. 從該資料直接或間接地確定有關的個人的身分是切實可行的；及
3. 該資料的存在形式令予以查閱及處理均是切實可行的。

此定義的覆蓋範圍有意地廣泛，可包括以下資料：

1. 姓名、身份證號碼、電話號碼、地址及電郵地址；
2. 照片、影片及社交媒體檔案；
3. 職業、財務或家庭資料。

例如，在網上公開他人的電話號碼，並附帶煽動滋擾的評論，尤其若隨後發生實際威脅或恐嚇，這一情況很可能符合構成起底罪行的要素。

在Secretary for Justice v Persons Unlawfully Conducting Themselves in Prohibited Acts [2020] HKCFI 2785一案中，法院裁定，若有惡意地或罔顧地在起底帖子內，發布他人職業、地點、親屬詳情甚至政治立場，均會落入起底罪行「個人資料」的範圍內。

純粹披露姓名和照片會否構成刑事罪行？

純粹披露姓名和照片會否構成起底罪行，需視乎事發背景和意圖：

1. 無惡意或並非罔顧：若無惡意地或並非罔顧地分享他人的姓名和照片（例如：朋友的畢業照），則不太可能構成罪行。關鍵在於沒有造成傷害或無造成傷害的風險。
2. 有意圖造成傷害或罔顧是否會造成傷害：若在有造成傷害的情況下披露姓名和照片，例如附帶貶損性評論或煽動鼓勵滋擾的評論，則可能違反《私隱條例》。

例如，曾有案件涉及法官被帶有煽動暴力的恐嚇帖子針對（參見上述： Secretary for Justice v Persons Unlawfully Conducting Themselves in Prohibited Acts）。

在STCC 1989/2022一案中，被告披露了受害人的住宅地址，並邀請他人探訪該地址，造成滋擾。法院判處被告人監禁8個月，突顯惡意披露的嚴重性。

披露經編輯或刪減的個人資料會否構成刑事罪行？

根據Privacy Commissioner Press Release, 11 February 2025，一名收債人因涉嫌起底被捕。該名收債人在傳單上貼了受害人的姓名、地址、部分刪除的香港身份證號碼及身份證副本，指控其未償還債務。雖然調查仍在進行中，但此案仍能突顯出，即使是部分識別資訊（已經刪減的個人資料），若出於惡意或罔顧披露，仍可能引致刑事責任或有關起底罪行的刑事檢控。

法定免責辯護

《私隱條例》第64(4)條為被控起底罪行的人士提供免責辯護。被控人如確立以下，即可避免法律責任：

1. 防止或偵測罪行：被控人合理相信，有關披露對防止或偵測罪行屬為必要。
2. 法律要求或授權：被控人根據任何法則、法律規則、法院命令或任何成文法則規定作出或授權作出有關披露。
3. 合理相信獲取相關同意：被控人合理地相信已獲得資料當事人（或，如適用，資料使用者的）的相關同意下作出披露。
4. 合法新聞活動：以證明披露純粹為合法新聞活動而作出，被控人必須證明：(a) 披露屬於新聞搜集或報導活動，及 (b) 其有合理理由相信該披露符合公眾利益。

私隱專員的角色

從2021年10月至2023年12月，私隱專員發出了1,878份停止披露通知，並將超過1,500宗案件轉交警方。為協助各方理解修訂條文及起底罪行下的刑事責任，私隱專員發布了《2021年個人資料(私隱)(修訂)條例》執行指引。如欲了解更多詳情及法院判決，請瀏覽：https://www.pcpd.org.hk/tc_chi/doxxing/index.html

避免犯下起底罪行的具體措施

鑑於起底罰行的嚴重性，個人和企業在處理及分享個人資料時務必謹慎行事。避免犯下起底罪行的具體措施包括：

1. 了解個人資料的定義：了解《私隱條例》下的個人資料定義，避免未經同意下披露可確定個人身份的資料。
2. 避免罔顧後果：即使無惡意，任何導致指明傷害的罔顧披露仍可能引致檢控。分享個人資料前，務必考慮潛在後果。
3. 取得明確同意：披露個人資料前，尤其是敏感或可確定個人身份的資料，應徵求當事人的明確同意。
4. 實施嚴格的個人資料保護政策：企業應遵守《私隱條例》，制定個人資料保護政策並培訓員工保護個人資料。
5. 謹慎使用社交媒體：避免轉發或分享他人發布的個人資料。起底罪行常因用戶未考慮法律後果而分享有害帖子而構成。
6. 如有疑問，尋求法律意見：若不確定披露的合法性，諮詢法律專業人士以評估風險並確保符合《私隱條例》。

結論

香港加強的反起底法例反映了對保護個人私隱的堅定承諾。為避免承擔法律責任，個人及機構在數碼平台及公開場合上必須謹慎處理個人資料。

本行致力於了解複雜及不斷演變的個人資料私隱法，以及起底罪行對個人及機構的影響。如對本文內容有任何疑問，請聯繫我們的團隊，我們將竭誠為您提供協助。