資訊廊

調查報告 – 八達通日日賞計劃

日期 : 2010年10月18日

調查報告 – 八達通日日賞計劃

1.    個人資料私隱專員 (下稱「專員」) 蔣任宏今日(10月18日)發表一份報告(下稱「該報告」),公布根據《個人資料(私隱)條例》(下稱「條例」)第38(b)條就八達通獎賞有限公司(下 稱「八達通獎賞公司」) 及其控股公司-八達通控股有限公司(下稱「八達通控股」),在營運八達通日日賞計劃(下稱「該計劃」)時,收集及使用客戶的個人資料而展開調查的結果。

2.    該計劃是八達通獎賞公司與其他商戶合作推行的客戶獎賞計劃。參加客戶得到的優惠是:(i)會員於參與商戶購物,並出示已登記的八達通卡,賺取 日日賞$,換取參與商戶的貨品及服務;及 (ii) 收到八達通獎賞公司及其參與商戶的直接促銷優惠。

背景

3.    自2010年3月底,公眾愈來愈關注八達通集團處理個人資料的情況。該計劃的部分會員對於其個人資料在他們不知情或未同意的情況下被轉移予第 三者作直接促銷,深表關注。

4.    2010年7月9日,一名聲稱是該計劃的參與商戶-信諾環球人壽保險有限公司(下稱「信諾」)的前僱員的人士,向傳媒及個人資料私隱專員公署 (下稱「公署」)揭發,八達通獎賞公司將該計劃的會員個人資料出售給信諾,作直接促銷用途。

5.    2010年7月20日,八達通獎賞公司公開承認曾將該計劃的會員個人資料轉移給信諾及另一個參與商戶-Card Protection Plan Limited(下稱「CPP」)。

6.    鑑於上述指稱的嚴重性,專員於2010年7月22日展開調查,以確定八達通控股及八達通獎賞公司有否違反條例的規定。

調查所得資料

7.    專員於2010年7月26日進行公開聆訊,向八達通控股行政總裁兼八達通獎賞公司董事、信諾行政總裁及CPP授權代表錄取口供。

8.    專員考慮了八達通控股、八達通獎賞公司、信諾及CPP的書面答覆、文件證據、公開聲明,及八達通控股及八達通獎賞公司向立法會財經事務委員會 (下稱「委員會」)作出的書面回應。他亦審查了他們提供予委員會查核的文件,以及八達通控股的董事局會議記錄。

專員的決定及結果

9.    在完成調查後,專員認為該計劃是一項客戶獎賞計劃,客戶透過計劃可換取貨品及服務,以及收到直接促銷優惠。因此,該計劃收集個人資料的目的是 合法的。然而,專員認為八達通獎賞公司在收集及使用客戶的個人資料的過程中,違反了保障資料第1(1) 原則、第1(3)原則及第3原則:

保障資料第1(1) 原則 –

9.1 八達通獎賞公司為認證客戶身份目的收集了超乎適度的個人資料,分別是身份證號碼、護照號碼、出生證明書號碼,以及出生年月。

9.2 八達通獎賞公司可以使用已收取的其他侵犯私隱程度較低的個人資料(例如電話號碼及住宅地址)以達致同樣目的。

保障資料第1(3) 原則–

9.3 八達通獎賞公司沒有採取所有合理地切實可行的步驟,確保已清楚告知申請參加該計劃的客戶資料可能被轉移予甚麼類別的人。

9.4 收集個人資料聲明內的印刷字體屬不合理的細小(英文約1亳米X 1亳米,中文約2亳米X 2亳米)。

9.5收集個人資料聲明訂明客戶被視為同意八達通賞獎公司可把其持有的個人資料轉移或披露予對該公司有保密責任的「任何人士」,包括其附屬公司、聯營公司 及參與商戶(不論是否在香港境內)。其實,八達通賞獎公司沒有讓其客戶合理地確定可使用資料的人士。酌情權完全在於八達通賞獎公司。

保障資料第3原則–

9.6 八達通獎賞公司在沒有客戶的訂明同意下,為金錢收益與五個合作商戶共用客戶的個人資料。

9.7涉及的交易其實是售賣個人資料。雖然條例沒有禁止八達通獎賞公司銷售個人資料,但此舉並不能被視為收集資料的原本目的或直接相關目的。一般客戶會預 期該計劃屬客戶忠誠計劃,而並非讓八達通獎賞公司出售他/她的個人資料作金錢收益。該計劃的收集個人資料聲明內沒有說明會銷售客戶個人資料以取得利潤。因 此,客戶在該計劃登記表格上簽署,同意收集個人資料聲明的內容,並不能構成對於銷售個人資料的明示及自願同意。

10.    專員同意八達通獎賞公司違例行為或行事方式,是獲八達通控股授權營運。因此,他認為依據條例第65(2)條,八達通控股須對八達通獎賞公司的 違規作為或行為負上責任。

11.    根據八達通獎賞公司與信諾的一項安排,八達通獎賞公司會把該計劃的會員名單交予信諾,而信諾的電話銷售員會致電這些會員,以八達通獎賞公司的 名義售賣信諾的保險產品。這樣,該計劃的會員收到這些推廣電話時,並不知悉他們的個人資料其實已轉移給信諾,也不知悉他們事實上正與信諾的員工進行交易。 此安排令會員不能適時拒絕八達通獎賞公司轉移資料,及拒絕信諾於直接促銷過程中進一步收集其個人資料。事實上,該計劃的會員已受騙。

八達通控股及八達通獎賞公司已作出的承 諾

12.    依據條例第50(1)條,如專員認為八達通獎賞公司及八達通控股正在違反或已經違反條例規定,而有關違反行為將持續或重複發生是相當可能,則 專員可向八達通獎賞公司及八達通控股送達執行通知。專員認為持續或重複違反行為的機會不大,因此決定不會發出執行通知的原因如下:-

13.    首先,專員注意到:-

(a)     八達通控股確認 (i) 已停止或暫停所有向夥伴商戶轉移或共用客戶個人資料作牟利用途的活動; 及 (ii) 正進行正式提早終止所有暫停的有關活動的合約。
(b)    八達通控股公開聲明,表示其所有附屬公司將不會參與任何須向夥伴商戶提供客戶個人資料以作促銷用途的活動。

14.    第二,八達通獎賞公司就以下情況向專員簽署承諾書:-

(a)    在兩個月內徹底刪除及銷毀過量收集得來的個人資料(香港身分證號碼 / 護照號碼 / 出生證明書號碼及 出生年月資料),由獨立專業第三者所發出的證書確認。
(b)    在兩個月內徹底刪除及銷毀為獲得金錢收益而向5間夥伴商戶轉移的客戶個人資料,如該等資料仍未被刪除的話。
(c)    重新設計收集個人資料聲明的描述和展示,以符合保障資料第1(3)原則的規定,讓一般正常視力的人士可易於細讀。
(d)    資料承讓人的類別應按其獨特功能分類,讓人以合理的程度了解個人資料會被移轉予甚麼人;及
(e)    如現有的客戶的個人資料會為金錢收益被轉移予該計劃下的參與商戶,必須取得客戶的明確及自願同意。

15.    最後,八達通控股確定會指示八達通獎賞公司遵從後者向專員簽署作出的承諾。

專員的意見

16.    專員絕對明白,本調查關乎公眾利益,因為其影響不但與處理該計劃逾200萬會員的個人資料有關,更與眾多資料使用者及相關各方進行直接促銷產 品及服務的做法有關。因此,他列出從本次調查而得出的意見及建議,以推廣遵從條例的規定。

16.1有別於企業及機構,個別人士與企業交往時,會處於較被支配的位置。企業在收集及使用顧客的個人資料時,不可利用其相對於顧客而言較主導的地位而收 集及使用顧客的個人資料。他們所從事的任何非常規行為將不合比例地削弱企業的誠信,及損毀其聲譽。

16.2在目前的條例所規定,如直接促銷的目的是與收集資料的原本目的一致或直接有關,則並無規定在收集資料時須使用「接受服務」方式,才可進行直接促 銷。然而,專員認為「接受服務」方式可為個別人士提供更進一步的資料私隱保護,亦符合公眾在這方面加強規管的期望。「接受服務」及「拒絕服務」兩者之間的 選擇,應由公眾討論,以達成共識。


16.3 企業不應收集超乎適度個人資料,尤其是香港身分證號碼,屬敏感資料,應特別小心處理,以確保其收集屬必需。企業應遵從專員所發出的身分證號碼及其他身分代 號實務守則的規定。

16.4為確保把收集個人資料聲明有效地告知資料當事人,資料使用者需考慮以下因素:-

(a)    收集個人資料聲明的描述和展示(包括字體大小)是否被設計成能讓一般擁有正常視力的人士易於細讀?
(b)    收集個人資料聲明是否清晰地表達?
(c)    收集個人資料聲明所使用的語言是否易於理解?
(d)    有否提供服務台或查詢服務等進一步支援,以協助資料當事人了解收集個人資料聲明的內容?

16.5資料使用者不應以寬鬆及模糊的條款,就使用目的及承讓人的類別作出定義,例如 「任何人士為了保密責任」,致令資料當事人實際上無法合理地確定他們的個人資料的會如何被使用及可使用該資料的人士。

16.6如資料使用者打算向第三方出售其客戶資料而獲金錢收益,而此舉並非收集資料時的原本目的或直接相關目的,則必須向客戶尋求明示及自願的同意。同意 可以簽署或剔選方格的方式表達。

16.7轉移資料的公司應確保轉移給夥伴公司的客戶個人資料只會用於進行議定的跨業直銷活動。通常被轉移的資料只限於聯絡資料,如姓名、地址及電話號碼, 讓夥伴公司能夠接觸客戶。應避免向夥伴公司轉移或披露客戶的敏感資料,例如信用卡號碼及 / 或香港身分證號碼,除非該轉移或披露與市場推廣目的有直接關係。

16.8 資料使用者在打算將個人資料轉移給第三方前,應對第三方進行適當的評估,確保他們採取足夠的措施,保障轉移給他們的個人資料。資料使用者應在與第三方定立 合約時加入條文,確保維持高度的資料保障水平。

16.9如資料使用者把客戶的個人資料交託第三者處理,建議的良好行事方式是,資料使用者須定期進行循規審核或檢討,以確保資料承讓人已遵從條例的規定, 採取適當的資料保障措施。

16.10資料使用者不應使用欺騙或誤導方式收集個人資料作直接促銷。例如,公司甲以公司乙的名義促銷公司甲的產品/服務,令對方誤以為是公司乙在進行直 接促銷,促銷公司乙的產品/服務,而基於這信賴,對方購買了產品/服務,並提供相關的個人資料。

專員的總結

17.    八達通獎賞公司出售個人資料以取得利潤這種方式,在香港並非個別事件。在其他與直接促銷活動有聯繫的行業,業務經營人士也採用此做法。為報告 作結語時,專員仍在調查向第三方業務夥伴轉移客戶個人資料的4間銀行及3間電訊運營商有否可能違反條例下的保障資料原則。

18.    雖然八達通獎賞公司已停止未經授權的個人資料銷售,公眾對於其過往的處理方式亦已表明強烈不滿。然而,專員雖已裁定八達通控股及八達通獎賞公 司違反第1(1), 1(3)原則及第3原則,礙於條例所限,專員在跟進事件時能夠採取的懲罰行動受到嚴格限制,因為違反保障資料原則本身並不屬犯罪。在公眾對保障個人資料私 隱的預期日益增加的情況下,這點突顯目前條例的不足。

19.    政府會提交一套修例動議。專員呼籲持份者及市民大眾參與討論,著眼於解決包括以下的問題:-

(a)    應否並如何加強管制及加重罰則,以確保資料使用者會按照資料當事人的授權行事;(專員贊成加強管制及加重罰則。)
(b)    應否並如何推出新的法例保障,以規限銷售個人資料作直接促銷用途;(專員贊成訂立新法例條文,以規管該等銷售活動。)
(c)    應否加強專員在條例下的執法權力,以加強個人資料私隱的保障(專員贊成加強執法權力。)

閱覽報告全文

20.    有關個案的背景、調查結果,以及專員的建議及其他評論,請參閱報告全文。報告可以在公署的網站(www.pcpd.org.hk) 下載,亦可以在公署的辦事處索取。

按 此下載報告全文

返回頁首

[檔案室]

此 頁 完 結

[新聞稿] [演講辭及專題文章/文件] [展覽材料] [相關網站] [檔案室] [其他資訊] [網上培訓天地] [公署就公眾諮詢所作的回應] [私隱專員就裁決作出回應] [就生署職員遺失載有病人個人資料事件的回應] [私隱專員承諾保障病人資料] [私隱專員展開對醫院管理局的視察] [私隱專員回應入境事務處有部份資料放上網一事] [就豐銀行遺失資料事件的回應] [「論私隱 你有份」國際短片創作比賽] [私隱專員致力推廣保障個人資料私隱] [就法庭裁決作出回應] [私隱專員就「洩漏資料刑事化」作出澄清] [私隱專員回應今日傳媒報導「國泰航空有限公司律師John Bleach認為專員犯了『法律錯誤』。他形容專員認為機艙服務員害怕遭受紀律處分是不合理的。」] [就警方洩漏資料事件作出回應] [對醫院管理局進行視察的進展] [入境事務處處長簽署正式承諾書] [私隱專員在立法會民政事務委員會特別會議的發言] [就香港上海豐銀行有限公司兩宗遺失資料事件作出回應] [私隱專員完成對醫院管理局個人資料系統的視察] [私隱專員發表對醫院管理局的視察報告] [私隱專員解釋保障病人資料私隱建議] [私隱專員接受豐銀行承諾書] [「論私隱 你有份」國際短片創作比賽頒獎典禮] [私隱專員對一宗司法覆核的判決的回應] [私隱專員歡迎醫院管理局提高病人資料私隱的保障] [私隱專員就法院案件編號HCAL 50/2008的判決發表聲明] [私隱專員公署接獲國泰空中服務員工會的信件] [Impact of Technology on Data Privacy] [私隱專員回應的士團體要求在車廂內安裝閉路電視的建議] [聯合醫院遺失病人資料] [私隱專員主持第三十一屆亞太區私隱機構論壇] [私隱專員呼籲求職者謹慎提供個人資料] [地產代理業保護客戶私隱小冊子] [調查報告:僱主收集僱員指紋資料作考勤用途] [聘任副個人資料私隱專員] [回應傳媒就某學校使用指紋識別系統的報導] [私隱專員回應市民對僱主收集僱員的指紋資料作日常考勤用途的議題的查詢] [調查報告:補習社在未獲取學生的同意下使用其成績通知書作宣傳用途] [私隱專員歡迎醫院管理局實施新措施保障病人資料私隱] [調查報告:食品公司在抽獎活動中向顧客收集超乎適度的個人資料] [私隱專員回應「校園驗毒試行計劃」] [必須確保識別個人的個人身分標識符正確:識別初生嬰兒的個案] [條例檢討展開公眾諮詢] [私隱專員就「校園自願驗毒計劃街頭論壇」致大會的發言全文 (此文只提供中文版本)] [回應傳媒關於網上搜尋他人的個人資料的報導] [私隱專員出席第三十一屆「國際資料保障及私隱專員研討會」] [回應傳媒查詢] [審計署署長向個人資料私隱專員公署發出衡工量值式審計報告] [醫院管理局採取保障措施提高對初生嬰兒的保障及其個人資料的準確性] [私隱專員發表兩份關於資料使用者收取查閱資料要求費用及資料使用者向其收數公司移轉個人資料的調查報告] [私隱專員吳斌的個人聲明] [公署年報連續三年榮獲國際獎項] [私隱專員主持「私隱關注運動2010」開展儀式] [回應近日關於第三者索取病人資料的討論] [意見調查:長者對個人資料私隱的態度及看法] [「好好保護個人資料 醒目長者您做到」公開講座] [保險業保障私隱活動] [Google 收集無線網絡訊息] [Google在香港收集Wi-Fi網絡資料] [Google在香港收集Wi-Fi網絡資料] [私隱專員出席第三十三屆亞太區私隱機構論壇] [私隱專員回應本地雜誌有關私隱議題的社論] [私隱專員發出資料外洩事故的處理及通報指引] [私隱專員回應「八達通應用及私隱問題意見調查報告」] [行政上訴委員會撤銷私隱專員對豐的調查決定] [個人資料(私隱)條例及八達通卡系統] [私隱專員向八達通展開正式調查] [私隱專員發出私隱影響評估資料單張] [私隱專員修訂刊物深入剖析保障資料原則] [私隱專員發表對調查八達通的中期報告] [私隱專員完成對Google收集Wi-Fi網絡資料的循規查察] [私隱專員完成對智能身份證系統的私隱循規評估報告] [主題公園收集指紋資料] [調查報告:美容中心未獲取客人同意把其個人資料移轉至第三者] [香港家書 - 個人資料私隱專員吳斌] [蔣任宏先生出任個人資料私隱專員] [公署推出短片介紹《個人資料(私隱)條例》] [私隱專員敦促資料使用者在進行直接促銷時留意條例的規定] [個人資料私隱專員公署參與亞太區經濟合作組織跨境私隱執法安排] [私隱專員與議政團體會面討論機構收集及使用個人資料作直接促銷的問題] [新修訂的查閱資料要求表格正式生效] [回應傳媒關於「個人資料(私隱)諮詢委員會」出席記錄的報道] [私隱專員完成對八達通控股有限公司的調查] [多媒體資訊] [調查報告 – 八達通日日賞計劃] [私隱專員發出收集及使用個人資料作直接促銷指引] [私隱專員回應政府條例檢討建議] [公署聲明:關於公署處理八達通集團的個案] [香港家書 - 個人資料私隱專員蔣任宏] [調查報告:電訊公司委託另一公司進行電話直接促銷] [蔣任宏回應傳媒報道他在2005年擔任郵政署長期間香港郵政處理一宗個人資料私隱事件的個人聲明] [蔣任宏回應傳媒報道他在2003至2006年擔任郵政署長期間香港郵政處理個人資料私隱事件的個人聲明] [檢討《個人資料(私隱)條例》網上意見調查] [公署就檢討《個人資料(私隱)條例》的公眾諮詢報告提交意見書] [共用按揭資料作信貸評估] [《個人信貸資料實務守則的建議修訂》 公開論壇] [對Google街景拍攝車輛恢復運作的私隱關注] [共用按揭資料作信貸評估完成公眾諮詢] [保障個人資料巡迴展覽2011] [共用按揭資料作信貸評估的諮詢報告] [《個人信貸資料實務守則》的修訂開始生效]

[公署簡介] [個人資料(私隱)條例] [公署活動] [資訊廊] [個人資料私隱通識網] [青少年私隱地帶] [公署出版的刊物及錄影帶]
[查詢與投訴] [個案簡述] [聯絡公署] [搜尋] [網站指南] [圖像版本] [英文版本]

聲明∕版 權 所 有 版 權 屬 個 人 資 料 私 隱 專 員 公 署 所 有 , 二 零 零 一 年 。 免 責 聲 明