日期: 2018年1月24日
公署回应有关银行洩露客户个人资料的事宜
谢谢你的查询,有关银行洩露客户个人资料的事宜,公署现综合回复如下:
-
银行在日常营运中需要处理大量客户的个人资料,包括财务及信贷等敏感资料,因此应确保其资料私隐政策及实务依从《个人资料(私隐)条例》(《私隐条例》)及相关的保障资料原则,其中:
-
就个人资料的使用方面,除非已取得客户的订明同意,银行使用(包括披露或转移)客户的个人资料应限于收集资料的目的或直接有关的目的[1],包括向客户提供银行服务。
-
而就个人资料保安方面,银行须采取所有切实可行的步骤,例如订立查阅不同资料的权限,确保其持有的客户个人资料受保障而不受未获准许的或意外的查阅或使用[2]。
-
若拟将客户的个人资料用于直接促销(「直销」)用途,便须遵从《私隐条例》下第6A部有关直销的规定,采取指明的行动以取得客户的同意;此外,银行在首次使用客户的个人资料作直销时,仍须告知该客户他有权要求银行在不向其收费的情况下,停止在直销中使用有关资料。
-
若拟将客户的个人资料转售或分享予直销用途,则除非银行已采取指明的行动以通知客户有关用途并取得其书面同意,否则亦有可能违反《私隐条例》下相关的直销规定。详情可参阅私隐专员刊发的《直接促销新指引》。
-
根据《私隐条例》第65(1)条,僱员在其受僱用中所作出的任何作为或所从事的任何行为,须视为亦是由其僱主所作出或从事的。因此,银行须为其职员在向客户提供服务期间所作出的作为或所从事的行为负责。如银行能证明已采取切实可行的步骤,防止其职员作出或从事任何违反行为,可以此为免责辩护。私隐专员刊发的《银行业界妥善处理客户个人资料指引》,列出一系列预防措施,包括:
-
定期及有系统地传递有关政策予职员;
-
持续向职员提供保障个人资料的培训;
-
向新入职职员提供保障个人资料的培训以作为入职指导的一部分;
-
定期检讨及更新有关政策规程、培训教材及手册;
-
对个人资料的查阅及处理,采取只限于「有需要知道」及「有需要使用」的原则;
-
规定职员签署保密声明,该声明清楚述明银行在这些方面的工作期望及违规可能受到的处分,或将该声明纳入职员手册或行为守则中;
-
如发生违规事件,应进行适当的调查程序,并对违规职员采取适当的行动;
-
制定适当的系统监控及进行定期内部稽核和随机抽查,以确保职员遵从既定的政策及程序。
-
此外,根据《私隐条例》第64条,任何人披露未经资料使用者(如银行)同意而取自该资料使用者的某资料当事人(如客户)的任何个人资料,而该项披露是出于以下意图的,该人即属犯罪:
(a) 获取金钱得益或其他财产得益,不论是为了令自己或另一人受惠而获取;或
(b) 导致该当事人蒙受金钱损失或其他财产损失;
又或在未经资料使用者同意下,如任何人披露取自该资料使用者的某资料当事人的任何个人资料,而该项披露导致该资料当事人蒙受心理伤害,不论其意图如何,亦属犯罪。最高刑罚是罚款一百万元和监禁五年。详情可参阅私隐专员刊发的《
披露未经资料使用者同意而取得的个人资料的罪行》资料单张。
-
任何人士如怀疑其个人资料私隐受到侵犯,而又能提供表面证据,可以向公署作投诉。公署在收到投诉后会接触投诉人及被投诉者,就个案作出跟进,因应个案情况决定是否进行调查,以确定被投诉者是否有违反条例的规定。若涉及刑事罪行,公署亦可能会将个案转介予警方以作刑事调查及考虑检控。
(如需引述,请写香港个人资料私隐专员黄继儿)
[1] 《私隐条例》下保障资料第3(1)原则 ─ 个人资料的使用
[2] 《私隐条例》下保障资料第4原则 ─ 个人资料的保安