Skip to content

回应传媒查询或报道

回应传媒查询或报道

日期: 2017年12月5日

公署回应有关电子支付与私隐保障事宜


谢谢你的查询,有关电子支付与私隐保障事宜,公署现就个人资料私隐范畴综合回复如下:


·         《个人资料(私隐)条例》(「条例」)提供清晰的条文要求,让电子支付系统/电子钱包供应商能妥善收集及使用客户个人资料的同时,亦能尊重客户的个人资料私隐权。一般而言,任何电子支付系统/电子钱包供应商(作为资料使用者)在香港控制收集、持有、处理或使用(包括披露和转移)客户的个人资料时,均须遵守条例下的规定,包括六项保障资料原则,其中在收集及使用个人资料方面:
  • 电子支付系统/电子钱包供应商须以合法和公平的方式收集客户的个人资料,而其目的应直接与其服务有关(如缴费、零售付款等),并应在收集客户个人资料时或之前提供《收集个人资料声明》,告知他们会收集/使用/处理甚么资料与其用途,以及资料可能会转移给哪类人士[1]。其中《收集个人资料声明》中就可能转移/披露资料的内容上应具体描述,并避免使用宽松广泛及笼统的字眼(如避免如此陈述:「你同意我们将你的个人资料披露及转移予本集团内的任何公司、各附属公司及任何本集团拥有权益的公司」),让客户能够合理地确定上述相关资讯。如声明过于含糊不清,电子支付系统/电子钱包供应商可能会被视作对收集/使用及查阅资料的目的有所隐瞒,而构成以不公平方式收集个人资料。
  • 条例并没有禁止电子支付系统/电子钱包供应商转移或披露客户的个人资料予其他持份者,但供应商披露或转移资料的目的,必须与所提供的电子支付/电子钱包服务相关,否则必须事先获得有关客户自愿给予的明示同意[2]。在决定有关同意是否属自愿,公署会考虑一系列因素,包括有关同意是否属「捆绑式同意」,即客户在拒绝给予同意后是否不获提供有关服务,与及客户是否已获提供足够资料让其作出相关决定。
  • 不论是转移资料者或承转人,若拟使用或提供客户的个人资料作直接促销,必须告知客户其拟如此使用或提供其资料,与及提供条例下的订明资讯[3];在首次使用客户的个人资料在直接促销时,亦须告知客户,他/她有权要求在不向其收费的情况下,停止如此使用有关资料;并且除非获得客户的同意(如属提供个人资料,同意必须以书面作出),否则不能使用或提供有关资料作直接促销[4]。

·         在目前的大数据经济下,个人资料可能被大量收集、转移及分析,以推测个别人士的生活习惯、喜好、信贷评分等。虽然有关分析可能有助提升个人获得的产品及服务质素,但亦可能会对个人私隐构成侵害。巿民(作为电子支付系统/电子钱包的用家)要懂得「自保」,在选择下载或使用任何电子支付系统/电子钱包,又或透过相关供应商所提供的应用程式或网站平台提供个人资料时,应注意以下事项:
  • 查明其私隐政策和收集个人资料声明,了解电子支付系统/电子钱包供应商如何查阅、上载、分享或处理收集所得的个人资料,衡量资料的收集是否有需要抑或是超乎适度,以及有关资料的使用、分享及处理对私隐可能构成的侵害与其带来的便利是否合符比例,再决定是否提供你的个人资料及安装;
  • 了解电子支付系统/电子钱包的应用程式/网站平台的私隐设定,拣选合适的选项;
  • 检视相关程式网站平台可以查阅甚么资料,并在有需要时关闭查阅功能;
  • 切勿在公共Wi-Fi或不安全的Wi-Fi连接下操作电子支付系统/电子钱包;
  • 在可行的情况下,核实及检查QR码有没有被篡改,并且不要在QR码带你到访的网站上输入个人或财务等敏感资料
  • 设定复杂的密码,亦不要将同一密码用于其他敏感性较低的服务;
  • 确保用来操作电子支付系统/电子钱包的智能装置已启动适当的防盗功能,并安装最新的保安修补程式及防病毒软件;
  • 切勿开启来历不明的电邮附件或点击可疑的连结;及
  • 定期监察电子支付系统/电子钱包的交易记录,留意是否有未获授权的活动。
     
·         而电子支付系统/电子钱包供应商则应注意以下事项:
  • 留意条例下的恰当性及透明度的要求,并利用精简的文字及浅显易明的表达方式向客户清楚解释要求提供各项个人资料的目的。
  • 若拟将从电子支付系统/电子钱包操作时收集所得的个人资料使用于与支付无关的目的,应先审慎考虑客户的合理私隐期望,并取得有关客户明确及自愿的同意;若打算将个人资料用于直销活动,便须遵从条例下有关直销的规定,采取指明的行动以取得客户的同意;
  • 留意其法律责任,确保所收集的个人资料的准确性及做好保安措施。由于电子支付系统/电子钱包所涉及的个人资料较敏感,供应商应为整个资料处理周期进行正式的风险评估,以决定所需的保安程度;
  • 依从条例下客户所作出的查阅资料及改正资料要求;及
  • 若外判个人资料处理工作予代理人(即资料处理者),须采取合约规范或其他方法,以 (i)防止转移予该资料处理者的个人资料的保存时间超过处理该资料所需的时间,及 (ii)防止转移予该资料处理者作处理的个人资料未获准许或意外地被查阅、处理、删除、丧失或使用。
 
更多有关保障个人资料私隐的指引及贴士,可浏览公署网站:PCPD.org.hk
 
·         由2015年1月1日至2017年11月30日,公署曾接获九宗涉及电子支付系统/电子钱包的投诉个案,投诉性质主要与网上支付系统要求使用者提供身份证明文件以核实身份有关。
 
(如需引述,请写私隐专员黄继儿) 

[1] 条例下保障资料第1原则:收集资料原则
[2] 条例下保障资料第3原则:使用资料原则
[3] 条例第35C(2)订明,资料使用者将个人资料用于直接促销前,须向资料当事人提供的订明资讯包括: (a) 该资料使用者拟在直接促销中使用该资料当事人的个人资料;(b) 除非该资料使用者收到资料当事人对拟进行的使用的同意,否则不得如此使用该资料;(c) 拟使用的个人资料的种类;(d) 该资料拟就甚么类别的促销标的而使用;及(e) 提供一个回应途径,让该资料当事人可在无需向该资料使用者缴费的情况下,通过该途径传达该资料当事人对上述的拟进行的使用的同意。
[4] 详情可参阅公署的《直接促销新指引