1. 個人資料私隱專員 (下稱「專員」)
蔣任宏今日(10月18日)發表一份報告(下稱「該報告」),公布根據《個人資料(私隱)條例》(下稱「條例」)第38(b)條就八達通獎賞有限公司(下
稱「八達通獎賞公司」)
及其控股公司-八達通控股有限公司(下稱「八達通控股」),在營運八達通日日賞計劃(下稱「該計劃」)時,收集及使用客戶的個人資料而展開調查的結果。
2.
該計劃是八達通獎賞公司與其他商戶合作推行的客戶獎賞計劃。參加客戶得到的優惠是:(i)會員於參與商戶購物,並出示已登記的八達通卡,賺取
日日賞$,換取參與商戶的貨品及服務;及 (ii) 收到八達通獎賞公司及其參與商戶的直接促銷優惠。
背景
3.
自2010年3月底,公眾愈來愈關注八達通集團處理個人資料的情況。該計劃的部分會員對於其個人資料在他們不知情或未同意的情況下被轉移予第
三者作直接促銷,深表關注。
4.
2010年7月9日,一名聲稱是該計劃的參與商戶-信諾環球人壽保險有限公司(下稱「信諾」)的前僱員的人士,向傳媒及個人資料私隱專員公署
(下稱「公署」)揭發,八達通獎賞公司將該計劃的會員個人資料出售給信諾,作直接促銷用途。
5.
2010年7月20日,八達通獎賞公司公開承認曾將該計劃的會員個人資料轉移給信諾及另一個參與商戶-Card Protection
Plan Limited(下稱「CPP」)。
6.
鑑於上述指稱的嚴重性,專員於2010年7月22日展開調查,以確定八達通控股及八達通獎賞公司有否違反條例的規定。
調查所得資料
7.
專員於2010年7月26日進行公開聆訊,向八達通控股行政總裁兼八達通獎賞公司董事、信諾行政總裁及CPP授權代表錄取口供。
8.
專員考慮了八達通控股、八達通獎賞公司、信諾及CPP的書面答覆、文件證據、公開聲明,及八達通控股及八達通獎賞公司向立法會財經事務委員會
(下稱「委員會」)作出的書面回應。他亦審查了他們提供予委員會查核的文件,以及八達通控股的董事局會議記錄。
專員的決定及結果
9.
在完成調查後,專員認為該計劃是一項客戶獎賞計劃,客戶透過計劃可換取貨品及服務,以及收到直接促銷優惠。因此,該計劃收集個人資料的目的是
合法的。然而,專員認為八達通獎賞公司在收集及使用客戶的個人資料的過程中,違反了保障資料第1(1) 原則、第1(3)原則及第3原則:
保障資料第1(1) 原則 –
9.1 八達通獎賞公司為認證客戶身份目的收集了超乎適度的個人資料,分別是身份證號碼、護照號碼、出生證明書號碼,以及出生年月。
9.2 八達通獎賞公司可以使用已收取的其他侵犯私隱程度較低的個人資料(例如電話號碼及住宅地址)以達致同樣目的。
保障資料第1(3) 原則–
9.3 八達通獎賞公司沒有採取所有合理地切實可行的步驟,確保已清楚告知申請參加該計劃的客戶資料可能被轉移予甚麼類別的人。
9.4 收集個人資料聲明內的印刷字體屬不合理的細小(英文約1亳米X 1亳米,中文約2亳米X 2亳米)。
9.5收集個人資料聲明訂明客戶被視為同意八達通賞獎公司可把其持有的個人資料轉移或披露予對該公司有保密責任的「任何人士」,包括其附屬公司、聯營公司
及參與商戶(不論是否在香港境內)。其實,八達通賞獎公司沒有讓其客戶合理地確定可使用資料的人士。酌情權完全在於八達通賞獎公司。
保障資料第3原則–
9.6 八達通獎賞公司在沒有客戶的訂明同意下,為金錢收益與五個合作商戶共用客戶的個人資料。
9.7涉及的交易其實是售賣個人資料。雖然條例沒有禁止八達通獎賞公司銷售個人資料,但此舉並不能被視為收集資料的原本目的或直接相關目的。一般客戶會預
期該計劃屬客戶忠誠計劃,而並非讓八達通獎賞公司出售他/她的個人資料作金錢收益。該計劃的收集個人資料聲明內沒有說明會銷售客戶個人資料以取得利潤。因
此,客戶在該計劃登記表格上簽署,同意收集個人資料聲明的內容,並不能構成對於銷售個人資料的明示及自願同意。
10.
專員同意八達通獎賞公司違例行為或行事方式,是獲八達通控股授權營運。因此,他認為依據條例第65(2)條,八達通控股須對八達通獎賞公司的
違規作為或行為負上責任。
11.
根據八達通獎賞公司與信諾的一項安排,八達通獎賞公司會把該計劃的會員名單交予信諾,而信諾的電話銷售員會致電這些會員,以八達通獎賞公司的
名義售賣信諾的保險產品。這樣,該計劃的會員收到這些推廣電話時,並不知悉他們的個人資料其實已轉移給信諾,也不知悉他們事實上正與信諾的員工進行交易。
此安排令會員不能適時拒絕八達通獎賞公司轉移資料,及拒絕信諾於直接促銷過程中進一步收集其個人資料。事實上,該計劃的會員已受騙。
八達通控股及八達通獎賞公司已作出的承
諾
12.
依據條例第50(1)條,如專員認為八達通獎賞公司及八達通控股正在違反或已經違反條例規定,而有關違反行為將持續或重複發生是相當可能,則
專員可向八達通獎賞公司及八達通控股送達執行通知。專員認為持續或重複違反行為的機會不大,因此決定不會發出執行通知的原因如下:-
13. 首先,專員注意到:-
(a) 八達通控股確認 (i) 已停止或暫停所有向夥伴商戶轉移或共用客戶個人資料作牟利用途的活動; 及
(ii) 正進行正式提早終止所有暫停的有關活動的合約。
(b) 八達通控股公開聲明,表示其所有附屬公司將不會參與任何須向夥伴商戶提供客戶個人資料以作促銷用途的活動。
14. 第二,八達通獎賞公司就以下情況向專員簽署承諾書:-
(a) 在兩個月內徹底刪除及銷毀過量收集得來的個人資料(香港身分證號碼 / 護照號碼 / 出生證明書號碼及
出生年月資料),由獨立專業第三者所發出的證書確認。
(b) 在兩個月內徹底刪除及銷毀為獲得金錢收益而向5間夥伴商戶轉移的客戶個人資料,如該等資料仍未被刪除的話。
(c)
重新設計收集個人資料聲明的描述和展示,以符合保障資料第1(3)原則的規定,讓一般正常視力的人士可易於細讀。
(d) 資料承讓人的類別應按其獨特功能分類,讓人以合理的程度了解個人資料會被移轉予甚麼人;及
(e) 如現有的客戶的個人資料會為金錢收益被轉移予該計劃下的參與商戶,必須取得客戶的明確及自願同意。
15. 最後,八達通控股確定會指示八達通獎賞公司遵從後者向專員簽署作出的承諾。
專員的意見
16.
專員絕對明白,本調查關乎公眾利益,因為其影響不但與處理該計劃逾200萬會員的個人資料有關,更與眾多資料使用者及相關各方進行直接促銷產
品及服務的做法有關。因此,他列出從本次調查而得出的意見及建議,以推廣遵從條例的規定。
16.1有別於企業及機構,個別人士與企業交往時,會處於較被支配的位置。企業在收集及使用顧客的個人資料時,不可利用其相對於顧客而言較主導的地位而收
集及使用顧客的個人資料。他們所從事的任何非常規行為將不合比例地削弱企業的誠信,及損毀其聲譽。
16.2在目前的條例所規定,如直接促銷的目的是與收集資料的原本目的一致或直接有關,則並無規定在收集資料時須使用「接受服務」方式,才可進行直接促
銷。然而,專員認為「接受服務」方式可為個別人士提供更進一步的資料私隱保護,亦符合公眾在這方面加強規管的期望。「接受服務」及「拒絕服務」兩者之間的
選擇,應由公眾討論,以達成共識。
16.3
企業不應收集超乎適度個人資料,尤其是香港身分證號碼,屬敏感資料,應特別小心處理,以確保其收集屬必需。企業應遵從專員所發出的身分證號碼及其他身分代
號實務守則的規定。
16.4為確保把收集個人資料聲明有效地告知資料當事人,資料使用者需考慮以下因素:-
(a) 收集個人資料聲明的描述和展示(包括字體大小)是否被設計成能讓一般擁有正常視力的人士易於細讀?
(b) 收集個人資料聲明是否清晰地表達?
(c) 收集個人資料聲明所使用的語言是否易於理解?
(d) 有否提供服務台或查詢服務等進一步支援,以協助資料當事人了解收集個人資料聲明的內容?
16.5資料使用者不應以寬鬆及模糊的條款,就使用目的及承讓人的類別作出定義,例如
「任何人士為了保密責任」,致令資料當事人實際上無法合理地確定他們的個人資料的會如何被使用及可使用該資料的人士。
16.6如資料使用者打算向第三方出售其客戶資料而獲金錢收益,而此舉並非收集資料時的原本目的或直接相關目的,則必須向客戶尋求明示及自願的同意。同意
可以簽署或剔選方格的方式表達。
16.7轉移資料的公司應確保轉移給夥伴公司的客戶個人資料只會用於進行議定的跨業直銷活動。通常被轉移的資料只限於聯絡資料,如姓名、地址及電話號碼,
讓夥伴公司能夠接觸客戶。應避免向夥伴公司轉移或披露客戶的敏感資料,例如信用卡號碼及 /
或香港身分證號碼,除非該轉移或披露與市場推廣目的有直接關係。
16.8
資料使用者在打算將個人資料轉移給第三方前,應對第三方進行適當的評估,確保他們採取足夠的措施,保障轉移給他們的個人資料。資料使用者應在與第三方定立
合約時加入條文,確保維持高度的資料保障水平。
16.9如資料使用者把客戶的個人資料交託第三者處理,建議的良好行事方式是,資料使用者須定期進行循規審核或檢討,以確保資料承讓人已遵從條例的規定,
採取適當的資料保障措施。
16.10資料使用者不應使用欺騙或誤導方式收集個人資料作直接促銷。例如,公司甲以公司乙的名義促銷公司甲的產品/服務,令對方誤以為是公司乙在進行直
接促銷,促銷公司乙的產品/服務,而基於這信賴,對方購買了產品/服務,並提供相關的個人資料。
專員的總結
17.
八達通獎賞公司出售個人資料以取得利潤這種方式,在香港並非個別事件。在其他與直接促銷活動有聯繫的行業,業務經營人士也採用此做法。為報告
作結語時,專員仍在調查向第三方業務夥伴轉移客戶個人資料的4間銀行及3間電訊運營商有否可能違反條例下的保障資料原則。
18.
雖然八達通獎賞公司已停止未經授權的個人資料銷售,公眾對於其過往的處理方式亦已表明強烈不滿。然而,專員雖已裁定八達通控股及八達通獎賞公
司違反第1(1),
1(3)原則及第3原則,礙於條例所限,專員在跟進事件時能夠採取的懲罰行動受到嚴格限制,因為違反保障資料原則本身並不屬犯罪。在公眾對保障個人資料私
隱的預期日益增加的情況下,這點突顯目前條例的不足。
19. 政府會提交一套修例動議。專員呼籲持份者及市民大眾參與討論,著眼於解決包括以下的問題:-
(a)
應否並如何加強管制及加重罰則,以確保資料使用者會按照資料當事人的授權行事;(專員贊成加強管制及加重罰則。)
(b)
應否並如何推出新的法例保障,以規限銷售個人資料作直接促銷用途;(專員贊成訂立新法例條文,以規管該等銷售活動。)
(c) 應否加強專員在條例下的執法權力,以加強個人資料私隱的保障(專員贊成加強執法權力。)
閱覽報告全文
20. 有關個案的背景、調查結果,以及專員的建議及其他評論,請參閱報告全文。報告可以在公署的網站(www.pcpd.org.hk)
下載,亦可以在公署的辦事處索取。
按
此下載報告全文
完