1. 個人資料私隱專員 (下稱「專員」) 蔣任宏今日 (6月20日) 發表五份調查報告。其中四宗個案涉及銀行(包括花旗銀行、富邦銀行、中國工商銀行(亞洲),及永亨銀行)在收集及使用客戶個人資料方面違反《個人資料(私隱)條例》(下稱「條例」)有關收集及使用個人資料的保障資料原則(下稱「原則」)的規定;在另外一宗個案中,稅務局亦違反了條例的保障資料原則,未能確保一名納稅人的地址資料準確。
公署接獲與「八達通事件」同類的投訴
2. 去年發生的「八達通事件」引起公眾極度關注機構未經客戶同意出售客戶的個人資料。在「八達通事件」發生前後,個人資料私隱專員公署(下稱「公署」)展開了十四宗同類個案的調查,當中八宗個案涉及電訊公司、五宗個案涉及銀行,另一宗個案涉及保險公司,現已完成所有調查。
3. 上述八宗投訴電訊公司的個案,其中兩宗涉及同一間電訊公司。有關個案正就專員的決定進行上訴程序。至於另外六宗涉及電訊公司及一宗涉及保險公司的個案,公署沒有作出違反條例規定的決定。
4. 另外五宗涉及五間銀行的個案,其中一宗由公署主動進行的調查,公署已將調查結果提交予有關銀行,正等待其回覆。公署今日發表其餘四宗投訴個案的調查報告。
對四間銀行進行的調查結果
5. 綜合來說,四間銀行在收集及使用客戶的個人資料作直接促銷用途的問題如下:
(i) 收集個人資料方面 <違反第1原則>
在收集客戶個人資料之時或之前,銀行以寬鬆及模糊的字眼描述資料承讓人的類別,令客戶無法合理地確定誰可使用其個人資料。《收集個人資料聲明》(下稱「聲明」)內的字體過份細小,令客戶難以細讀。
(ii) 使用個人資料方面 <違反第3原則>
將所收集的客戶個人資料披露予第三者作促銷用途,並換取金錢得益,卻沒有取得客戶的明確及自願同意,超越客戶對其個人資料使用的合理期望。
在以上4宗個案中,客戶只獲提供一個位置來簽署服務申請表。因此,他/她須選擇(i)放棄申請服務,或(ii)同意銀行將其個人資料轉移至無關係的第三者作促銷用途,以換取金錢得益,雖然他其實是反對有關的用途。有關「綑綁式同意」不可視為條例所要求的明確及自願同意。
(iii) 未有依從拒收直銷訊息要求 <違反條例第34(1)條>
其中一間銀行,中國工商銀行(亞洲) 未能恰當地處理客戶以書面要求停止使用其個人資料作直接促銷用途。該銀行處理客戶拒收直銷訊息要求的處理系統,有明顯不足之處,有關職員的處事手法亦非常粗疏。該客戶向銀行提出要求後,在8個月內向銀行多次投訴仍收到直銷電話,才被妥善處理其要求。
(違規詳情請參閱附錄甲)
公署為此而進行的跟進行動
6. 在以上違反個案中,三間銀行向專員書面承諾採取補救措施,以及確保有關違反行為不會持續或重複發生。因此專員沒有向他們發出執行通知。至於另一間銀行,則遵從專員所發出的執行通知。
7. 另一方面,為了協助機構在收集及使用個人資料進行直接促銷活動時符合條例的規定,公署已從多方面提出協助,包括在去年十月發出《收集及使用個人資料作直接促銷指引》(下稱「指引」)。該指引建議如何符合法例的要求提供指引,並推介良好的作業方式。公署亦及舉辦了多場工作坊和研習班,讓市場推廣及銀行業務專業人士參與。
專員對銀行主動進行的循規查察行動
8. 上述已完結的個案是當時的違規情況。較之更為重要的,是要確保銀行有否及如何從它們過去所犯的錯誤中汲取教訓及依從指引的建議,為此,專員早前主動對十間本地銀行的信用卡申請表開展循規查察行動,以確定是否依從指引,詳細內容列於附錄乙。由此可見,銀行一般都符合法律的規定,但他們未能全部跟從指引建議的良好行事方式。
稅務局未能確保個人資料準確
9. 在另一宗個案中,香港稅務局 (下稱「稅局」) 在一名納稅人沒有要求更改地址的情況下,錯誤更改他正確的通訊地址,及保留和重覆使用錯誤的通訊地址,以致該納稅人一直未能收到「評稅及繳納稅款通知書」。其間,個案經四個不同單位的四名職員處理,仍未能糾正錯誤,直至要該納稅人前後共六次以電郵、電話及親身會見稅局職員,鍥而不捨地投訴,稅局最後才準確地更正有關資料。調查結果是,稅局違反了保障資料第2(1)原則的規定,即沒有採取所有合理地切實可行的步驟,確保其持有及使用的投訴人的地址準確。
10.專員認為在上述個案中,稅局在處理投訴人的資料的過程中連環出現人為錯誤,反映不只是個別職員對保持資料準確的意識不足,而是涉及多個不同單位的職員,情況令人遺憾。不過,專員確認稅局已採納他的建議及評論,並採取補救及改善措施,以防止事件重複發生。因此,專員沒有向稅局發出執行通知。
報告公開被投訴機構的名稱
11.今日發表的五份調查報告公開全部被投訴機構的名稱,此公開違反條例規定的機構資料使用者名稱的做法,將是公署日後根據條例第48(2)條而發表的調查報告的形式,除非公開被投訴機構的名稱:(i)有違香港的公眾利益 (如保安、國防及國際關係)、(ii) 會妨礙刑事調查或偵測罪行,或(iii)有其他法律規定禁止刊登及識別特定個案內的相關資料使用者。
12. 蔣任宏表示:「我們相信公開資料使用者名字的做法可帶來公眾監察的制裁及紀律,從而鼓勵有關資料使用者及其他人士遵從規定。」
專員的建議及評論
13. 有關今日發表的五份調查報告,專員有以下的建議及評論:
14. 首先,他希望所有進行收集及使用大量客戶資料的企業,能夠在八達通事件及上述銀行的個案中得到教訓。他們應該制定私隱策略,確保在營運過程中處理個人資料時謹守公開透明的原則,讓客戶知道收集他們資料的目的,及尊重客戶對自己提供的資料的自決權。
15. 第二,專員對銀行在收集及使用客戶資料進行直接促銷活動時,雖然普遍符合法律的規定,但對他們未能全部跟從指引建議的良好行事方式表示失望。具體而言,指引建議企業在設計服務申請表時,應將客戶同意服務的條款及細則的部分,與客戶同意其個人資料被用於促銷與他原本尋求的服務沒有直接關係的產品或服務的部分區分開來,包括出售個人資料換取金錢收益。建議的方法包括讓客戶在空格上加上「✓」號,或另行簽署,表明是否同意把其個人資料用於該些用途。但有關銀行似乎不願意在服務申請表上提供此安排。
16. 值得注意的是,政府建議修訂條例,加強規管收集及使用個人資料,當中包括在收集客戶資料之前或之時,客戶有權選擇拒絕資料用於直銷用途,或出售給第三者。專員希望銀行能夠依從指引的建議,積極提供以客為本及提升私隱保障的方案,而不是單單符合現行條例的最低要求。他們能夠因而提升客戶的信任及忠心,是創造客戶及企業的雙贏的方案。
17. 第三,在中國工商銀行(亞洲)不當處理客戶的拒絕服務要求的個案中,凸顯香港的消費者面對行使條例第34條拒絕服務要求的困難,即:
(a) 他們只可在被直銷人員接觸後才拒絕服務;
(b) 他們須向每間直接促銷公司作出拒絕服務要求; 及
(c) 他們須依賴直銷商執行其接收要求後的跟進安排。
18. 為解決有關問題,公署一直建議設立拒收人對人促銷電話中央登記冊。此建議可在《非應邀電子訊息條例》下落實,擴大現時由電訊管理局營運的拒收訊息登記冊 (現時只涵蓋傳真、短訊及預錄電話訊息)。專員期望政府會認真及迅速地落實此建議,加強規管以防止或減少個人資料被濫用作直接促銷用途。
19. 第四,中國工商銀行(亞洲)不恰當處理客戶拒收直銷訊息的要求,及稅務局未能確保納稅人通訊地址的準確性等違規行為,都有一個共通點,就是涉及多個不同單位的職員的連環錯誤。兩宗個案亦凸顯了:既定的運作程序和指引本身並不能保證符合條例的規定。職員在工作時能齊心重視遵守條例是很重要的。專員希望能啟發企業主動積極地建立以客為本、尊重私隱及保障資料的企業文化。在此事上,管理層責無旁貸,他們必須擔當領導角色,透過有效溝通方法及適當的強化措施,向職員反複灌輸此等價值。
20. 「自八達通私隱違規事件至今,我們看到企業在個人資料私隱保障方面有明顯改善之處,很多企業已修訂了他們的個人資料收集聲明,比較清楚而明確地介紹了資料使用上的不同用途,以及說明資料會轉移至哪些類別的人士或機構。它們對私隱條例的要求一般來說已是更為關注。可是,違反條例規定的情況仍然出現,而公署處理的投訴亦日益增長。我期望企業以更主動及嚴謹的態度處理和使用個人資料,為企業和客戶締造雙贏。」蔣任宏總結。
索取報告
21. 有關個案的背景、調查結果,以及專員的建議及其他評論,請參閱報告全文。報告可以在公署的辦事處(香港灣仔皇后大道東248號陽光中心12樓)索取,亦可以從其網站下載: www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/investigation_reports/invest_report.html
完