Skip to content

新闻稿

新闻稿

日期: 2018年4月18日

私隐专员回应有关香港寛频一宗怀疑客户资料库遭入侵事件

就有关香港寛频一宗怀疑客户资料库遭入侵导致客户的个人资料可能外洩事件,香港个人资料私隐专员(私隐专员)黄继儿表示关注并表达以下的意见:
  • 公署已收到相关的资料外洩通报,表示该集团发现一宗未经授权接触其一个已停用客户资料库,当中载有的客户资料包括姓名、电邮地址、通讯地址、电话号码、身份证号码及信用卡资料等,有可能导致个人资料外洩。
 
  • 私隐专员注意到事件中受影响的客户人数众多,当中亦可能涉及大量敏感的个人资料,事件受传媒广泛关注和报道和有关集团已向警方报案。公署已主动就事件展开循规审查。
 
  • 不论公私营机构,作为资料使用者,必须按《个人资料(私隐)条例》(《私隐条例》)规定妥善储存客户的个人资料,并采取切实可行的步骤,保障个人资料不会未经授权或意外地被查阅、处理、删除、丧失或使用,否则便有可能违反条例下的资料保安原则 1
 
  • 有关机构保留客户个人资料的期限方面:
    • 一般而言,任何机构必须按《私隐条例》的规定妥善保留及删除客户的个人资料,其中机构须采取所有切实可行的步骤:
      • 确保个人资料的保留时间不得超过达致原来目的的实际所需(保障资料第2(2)原则);及
      • 删除已不再为使用目的而需要保留的个人资料,除非受任何法律禁止或不删除该资料是符合公众利益的(《私隐条例》第26条)。
    • 《私隐条例》并没有指明资料使用者保留个人资料的期限。机构应按其业务的实际所需、其收集个人资料的原来目的,以及为符合其他法定要求或公众利益而决定保存个人资料的期限。一般而言,机构在交易完成后,可保留有关纪录7年。
       
  • 就个人资料的转移方面:
    • 当机构在结业/终止业务时拟将该机构的客户资料转移予另一提供类似服务的公司,机构只有在以下情况才可考虑如此这样做:
      • 机构在收集客户的个人资料之时已明确告知客户收集其个人资料的目的及其个人资料可能被转移予该指定类别的人士;
      • 或在转移客户的个人资料前已取得客户自愿给予的明示同意 2

 

-完-


1 《私隐条例》下的保障资料第4原则 – 资料保安原则
2 《私隐条例》下的保障资料第3原则 – 使用资料原则