新聞稿

新聞稿 - 私隱專員公佈視察報告鼓勵旅遊業界推行私隱管理系統

日期 : 2016年1月26日

（2016年1月26日）個人資料私隱專員（「專員」）今天就一旅行社所採取的資料保障措施發表視察報告，專員注意到該旅行社採取了值得旅遊界參考的典範行事方式，同時就其資料保障措施提出多項建議；並鼓勵業界推行私隱管理系統，妥善管理個人資料。

視察原因

外遊是港人喜愛的消閒活動，而旅行社會收集和保存大量顧客的個人資料包括姓名、護照資料、出生日期、聯絡資料及信用卡資料等。根據《個人資料（私隱）條例》（「條例」）第36條，專員對個人資料系統進行視察，藉以促進資料使用者特別是同一行業的資料使用者循規，以符合條例的規定。

香港有超過1,700 間持牌旅行社，專員揀選視察對象的考慮因素包括客戶的人數，及旅遊業界收集個人資料的途徑（即分行、電話報名中心及網站）。

個人資料私隱專員公署（「公署」）揀選了康泰旅行社（「該旅行社」），並於2015年7月20至27日期間進行實地視察。

視察結果

公署注意到對該旅行社在資料保障方面的措施，有一些值得參考的行事方式包括: 重視私隱管理，委派了高層管理人員監督私隱事宜；向親身報團的顧客列明並只收集必需資料；適時銷毀載有個人資料的文件；以及謹慎處理敏感文件。

個人資料私隱專員黃繼兒在記者會上指出︰「我鼓勵旅遊業界推行私隱管理系統，以妥善管理其持有的個人資料。機構應視保障個人資料為企業管治的一環。健全的私隱管理系統配合有效的檢討和監察程序，不單有助遵從條例的規定，更可取得顧客的信任及提升商譽。」

建議

公署亦向該旅行社提出建議，改善其資料保障措施，包括：

檢討是否有過度收集資料︰例如是否需要在網上報團時收集顧客的地址及香港身份證號碼；及是否需要收集其會員計劃參加者的出生年月日，以處理入會申請及換取優惠；
要符合「資料使用原則」及使用個人資料於直接促銷的規定︰在表格上具體說明旅行團顧客的個人資料會轉移給甚麼類別的人士，及資料轉移的目的；如不會轉移尊享會會員的個人資料予任何人士，便應列明出來；讓參加者表示是否反對使用其個人資料作直接促銷的選項，列於表格上顯眼的位置；
在保安措施方面的建議︰於現有的工作流程或指引中，列明保護敏感資料的措施；貫徹執行員工在互聯網傳輸個人資料時必須加密的規定，並書面訂明違規的後果；以及檢討及完善現行的資訊科技保安政策及管治方式，以確保全面性及完整性；完善處理資料遺失或外洩的指引；及
在私隱政策的透明度方面︰制定私隱政策聲明，並於網上發佈。

- 完 -