1. 个人资料私隐专员 (下称「专员」) 蒋任宏今日 (12月15日) 发表 (i) 3份有关两间银行处理个人资料的调查报告;以及(ii) 就19间零售银行向开立储蓄帐户的客户收集两项特定个人资料的查询结果。
2. 在3份调查报告中,专员认为中信银行国际有限公司(下称「中信银行」) 及恒生银行有限公司(下称「恒生银行」)在处理客户个人资料方面违反《个人资料(私隐)条例》(下称「条例」)有关处理个人资料的保障资料原则(下称「原则」)的规定。
中信转移客户个人资料予无关连的第三者作直接促销用途的调查结果
3. 专员向6间由香港金融管理局在2010年8月转介的零售银行(包括中信银行)展开调查,这些银行把客户个人资料转移予无关连的第三者作直接促销用途。其中五间银行的调查结果较早前已经向公众披露。这份关于中信银行的报告是同系列最后的一份报告。
4. 调查显示中信银行在2006年3月至2010年7月期间把超过150,000名户口或信用卡客户的个人资料转移予三间保险公司 作直接促销用途。
5. 经调查后,专员认为中信银行(i) 没有明确通知个人户口及信用卡的客户其个人资料可能转移予甚么类别的人,因而违反了第1(3)原则的规定;及(ii) 在没有取得客户的明确及自愿同意下,向该些保险公司披露客户的个人资料以换取金钱得益,因而违反了第3原则的规定。
6. 因应本调查,中信银行已停止所有涉及转移客户资料予无关连公司进行促销的计划及活动;以及采取适当的补救措施,包括改善收集个人资料声明的设计及字眼。
7. 「2010年发生的违反保障资料原则事件显示很多企业,包括银 行,曾转移客户的个人资料予第三者作直接促销用途,而没有明确具体地通知客户转移资料的目的及资料受让人的身份,也没有在有需要时征求客户的明确同意。在多宗个案中,该些企业转移资料 而得到金钱收益,这等同未获授权售卖个人资料。此等事件引 起社会各界广泛关注。政府已建议对条例作出多项修订,以提供更严谨的规管及严厉的刑罚。有关修订 正在立法会法案委员会进行讨论。」蒋任宏评论。
8. 「我希望这些修订建议可以早日落实。与此同时,我们强烈建议涉及收集、使用及售卖个人资料作直接促销活动的银行及机构应遵从现时的法律规定及我们于2010年10月发出的《收集及使用个人资料作直接促销指引》中所建议的良好行事方式。 他们必须主动采取以客为本及尊重私隐的推广策略和营运程 序,从而取得客户更多的信任与支持,以达致双赢局面。」蒋任宏补充。
9. 在一宗由投诉引发的主动调查过程中,公署揭示恒生银行没有合理理由保留其客户的破产资料达99年。
10. 专员认为,由于破产人通常在破产开始起计的4至8年后获解除破 产,该等破产资料不应被保留超过8年。因此,专员认为恒生银行保留该等破产资料时间过长,因而违反了条例第26(1)条及第2(2)原则的规定。恒生银行其后修改了其政策,停止保留该等破产资料超过8年(由宣布破产日起计)的做法。
11. 「与个人破产有关的个人资料,无疑是银行管理信贷风险及协助破 产受讬人识别和扣押破产人的财产及帐户的相关和重要资料。即使如此,银行也不能顺理成章地在没有合理理由下长时间地保留有关的个人资料。」蒋任宏评论。
12. 「根据《破产条例》第30A条,破产人在4至8年后获解除破产后,可以重新掌控其财务事宜。在这基础下,本人看不到有甚么原因令银行要保留关于某人破产的个人资料超过8年,继续不当地标籤该人,影响该人重过没有产权负担的正常生活。」
13. 「资料使用者(包括银行)必须小心考虑他们收集个人资料的目 的,以谨慎决定适当的个人资料保留时期。保留资料超过所需的时间最低限度会加重了保障个人资料的成本,及增加未经许可的查阅或其他使用的风险,而损害资料当事人利益。」
14. 「一般来说,资料使用者要慎重管理由收集到销毁个人资料的整个流程,并要小心处理资料的保留。这需要管理层的主动及决心,实施有效的私隐及风险管理措施。对个人资料的保障采取放任政策是行不通的。」蒋任宏补充。
恒生银行向储蓄户口申请人收集资料的调查结果
15. 投诉涉及恒生银行要求一名申请储蓄户口的客户提供其个人资 料,当中包括「教育程度」及「婚姻状况」。恒生银行解释, 收集这两项个人资料,是为了向客户推广其产品及服务。纵使恒生银行澄清这两个项目属「非必须填写」的资料,专员认为恒生银行没有采取所有切实可行的步骤确保以明确或暗喻方式告知客户,因而违反了第1(3)(a)(i)原则的规定。恒生银行后来修订了它的储蓄户口申请表,注明「教育程度」及「婚姻状况」两项资料属非必须资料,与及提示前线职员相应地正确收集客户个人资料。
16. 为了解恒生银行这种手法在银行业界是否普遍,专员在2011年9月向其他19间银行进行了一项查询,结果(见附录)如下:
(a) 有些银行没有收集这两项资料;
(b) 有些银行收集这两项资料,并在户口申请表清楚注明这些是可选择不提供的资料;
(c) 但是,共有9间银行收集这两项资料而没有在户口申请表注明这些属非必须资料。当中7间银行表示他们会修改申请表注明可自愿提供这些资料,1间银行 (中国建设银行(亚洲有限公司) )表示他们会考虑以类近方式修改申请表,但是中信银行表示没有打算修改申请表。
专员会继续留意(c) 项的发展情况,及采取合适的跟进行动。
17. 「我非常认同个人资料对商业机构具经济价值。不过,这不代表可以忽视客户的个人资料私隐权。我呼吁所有银行和机构在收集、使 用及保留客户个人资料时应采用一套全面的私隐策略,保证有关个人资料收集的活动高度透明,并尊重客户有权自主个人资料的使用方式。
18. 「我促请所有商业机构审视其服务申请表,确保所收集的资料是必需及不超乎适度。若机构打算收集客户姓名及联络资料以外的个人资料作直销,应通知客户他们可选择不提供该些资料。」蒋任宏补充。
索取报告
19. 有关个案的背景、调查结果,以及专员的建议及其他评论,请参阅 报告全文。报告可以在公署的办事处(香港湾仔皇后大道东248号阳光中心12楼) 索取,亦可以从其网站下载: www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/investigation_reports/invest_report.html
完