以下为今日(十一月二十三日)在立法会会议上刘业强议员的提问和署理政制及内地事务局局长陈岳鹏的书面答复:
问题:
近年,随着市民使用各类网上支付工具进行网上交易日趋普遍,消费者於进行该等交易时披露的个人资料遭商户滥用的风险备受关注。消费者委员会早前揭露,有商户在客户终止采用其服务后,仍把该等客户的个人资料保留长达七年甚至永久保留。此外,有一家已结业连锁式健身中心的临时清盘人,计划出售该中心会员的个人资料作直销用途。就此,政府可否告知本会:
(一)过去五年,当局接获多少宗关于消费者於进行网上交易时,向商户披露的个人资料遭滥用的投诉,以及当中有多少宗涉及使用跨境支付服务;有何措施遏止非本地商户滥用香港居民於进行网上交易时披露的个人资料的做法;
(二)现时有何机制或法例,限制商户在结束业务或达到收集个人资料目的实际所需的时间后,仍长期保留客户的个人资料或滥用该等资料;及
(三)会否考虑修改法例,订明商户不得保留客户的个人资料超过(i)某法定期限或(ii)其向客户表明会保留该等资料的期限?
答复:
主席:
就刘议员的提问,经谘询个人资料私隐专员公署(公署),现综合答复如下:
由二○一二年一月一日至二○一六年十月三十一日,公署一共接获三宗有关滥用消费者於网上交易时提供的个人资料的投诉,惟没有资料显示当中是否涉及使用跨境支付服务。
根据《个人资料(私隐)条例》(第486章)(私隐条例)下的保障资料第2(2)原则,资料使用者(例如商户)须确保个人资料的保留时间不超过达致资料使用目的的实际所需。私隐条例第26(1)条亦规定,凡个人资料不再为有关使用目的所需要,资料使用者须采取所有切实可行的步骤删除该资料。
此外,保障资料第3原则保障资料当事人(例如消费者)的个人资料不会被用於原本没有预见的用途。该原则订明,如无有关资料当事人的订明同意,个人资料不得用於在收集资料时拟用於的目的或与其直接相关的目的以外的新目的。
私隐条例第6A部进一步规定,若商户拟把客户的个人资料提供予第三方作直接促销之用,须以书面告知资料当事人它有意如此提供资料,并提供订明资讯(包括拟提供的个人资料的种类、该资料拟提供予甚么类别的人士等);如个人资料是为得益(例如获得金钱回报)而转移的,资料当事人亦须获书面明确告知。商户必须取得资料当事人的书面同意方可转移个人资料予第三方作直接促销之用。
考虑到不同资料使用者收集、保留及使用个人资料的目的、种类、方法等各有不同,需要的合理保留期限亦有很大差异(注),条例并没有订立保留个人资料的划一法定期限。然而,不论资料使用者有否就保留资料的年期作出声明,私隐条例的规范都同样适用。公署会处理有关不当收集、保留或使用个人资料的投诉;如公署有合理理由相信资料使用者有违反私隐条例规定的情况,亦可主动展开循规审查或调查。
非本地商户若在香港控制个人资料的收集、持有、处理或使用或能够从香港行使该项控制,即同样受私隐条例规管。
公署亦一直参与国际私隐执法机构的合作安排,如发现有资料使用者在其他司法管辖区违反当地的私隐规例,会向该司法管辖区的私隐执法机构通报情报及资料,以便其采取措施。
注:举例而言,香港金融管理局发出的《打击洗钱及恐怖分子资金筹集指引(储值支付工具持牌人适用)》第8.4段要求储值支付工具持牌人应在与有关客户的整个业务关系期间及该业务关系终止后的六年期间内备存其身分证明文件;公署发出的《个人信贷资料实务守则》第3.4A段订明信贷资料机构可保留无显示有重要欠帐及无因破产令而撇帐的帐户的还款资料,直至帐户结束后五年届满为止。
完
2016年11月23日(星期三)
香港时间15时40分
|