Skip to content

個案簡述

個案簡述

有關《身分證號碼及其他身分代號實務守則》的個案簡述

參考編號.:2014C09

美容中心收集客戶的個人資料超乎適度

投訴內容

投訴人收到銀行給她的推廣資料,可免費於一美容中心享用美白療程及纖型療程。投訴人隨後到該美容中心先欲享用該纖型療程,由於投訴人是新客戶,該美容中心的職員先要求她登記成為客户及填寫一份新客戶表格,當中投訴人必須提供其個人資料,包括身份證號碼、出生日期(包括年、月及日)、教育程度及職業。此外,職員亦要求投訴人分別簽署一份接受該纖型療程及該美白療程的同意書(“該些同意書”),並需要在該些同意書上填上她的姓名及身份證號碼。

投訴人認為該美容中心不應收集她的個人資料,遂向本署作出投訴。

調查結果

在新客戶表格中收集客戶的個人資料

專員認為雖然客戶的皮膚狀況與年齡有關,客戶的年齡有助該美容中心跟進客戶的皮膚進度,但為達致此目的而言,收集客戶的出生年份已足夠,毋須進一步收集出生月份及日期。此外,在沒有客戶的教育程度及職業的情況下,也不會影響該美容中心所提供的服務,故要求客戶提供教育程度及職業不是必需的。

就收集身份證號碼一事,該美容中心只需於客戶填寫新客戶表格時要求他出示身份證明文件,並檢視證件上的姓名及樣貌與現場所見的是否相符,及核對證件上的持證人姓名與新客戶表格中所填寫的姓名是否一致,已可達致核實身份的目的,而毋須收集客戶的身份證號碼。此外,該美容中心可在向客人提供服務或療程前核對客人的姓名及電話號碼,及其為客人所安排的特定客戶編號等資料,去識辨客戶及作為尋找客戶記錄的索引。再者,同時出現相同電話號碼及地址的情況實屬罕見。縱使客戶的電話號碼及地址有機會更改,但該美容中心仍可透過其他方法確認客戶的身份,當中包括要求該客戶透露舊電話號碼或地址。

在接受該美白療程及該纖型療程的該些同意書中收集客戶的身份證號碼

該美容中心並非按《診療所條例》註冊的診療所。事實上,其營運模式與坊間其他完全由註冊醫生運作的醫療中心可以說是截然不同。專員認為,客户對註冊醫生在治療前的評估、治療間的應變或治療後的跟進均較信任及具信心,醫生與病人關係從而得到確認。反之,治療師的資歷不能與醫生所受對有關疾病及處理病人的訓練及專業評核相提並論。故此,療程由註冊醫生負責進行才可以說得上是建立了醫生與病人關係,從而可收集有關客戶的身份證號碼。

由於該纖型療程將由治療師負責進行,因此該美容中心不能在該纖型療程的該些同意書中收集有關客戶的身份證號碼。同樣地,由於該美白療程將由治療師或醫生負責進行,意味該美白療程並不一定由醫生主理,因此醫生與病人的關係並不一定會確立。所以,該美容中心不能在該美白療程的該些同意書中預先收集有關客戶的身份證號碼,除非已確立該美白療程會由醫生負責進行。

此外,該美容中心確認過往未有客戶向它作出追討或申索。專員認為為一個可能但不確定或未能確定的行為,而向客戶強制收集他的身份證號碼是不合理的。無論如何,該美容中心作為民事訴訟案件中的答辯人,它並不需要原告人(即提出索償訴訟的客戶)的身份證號碼以擬備答辯資料。

另外,該些同意書內並沒有任何條文列明雙方權責及後果,且沒有提及該美白療程及該纖型療程屬高風險療程。就此,該兩項療程的該些同意書並非一份合約,該些同意書只是讓客戶確認知悉有關療程內容的聲明,而非一份擬確立雙方法律責任的文件。

故此,專員認為該美容中心在接受該美白療程及該纖型療程的該些同意書中向非由註冊醫生進行治療的客戶收集身份證號碼屬超乎適度。

專員向該美容中心發出執行通知,指示它採取措施糾正違反行為。

啟示

資料使用者不應過份依賴用身份證號碼去核實個人身份的做法。資料使用者在收集客戶的個人資料前,應審慎考慮有關做法是否符合條例的有關規定,務求在營商及保障個人資料私隱方面取得平衡。資料使用者應謹記,身份證號碼是獨一無二的身份代號,是不能更改的個人資料,應被視為高度私隱及敏感的資料並加以保護。

(上載日期:2016年1月)


個案種類 : 按條例規定/ 保障資料原則/ 實務守則/ 指引分類 : 按題目/內容分類: