日期: 2018年3月27日
公署回应有关流传有银行透过更新系统将香港客户资料转移至香港以外地方的事宜
谢谢你的查询,有关流传有银行透过更新系统将香港客户资料转移至香港以外地方的事宜,公署现综合回复如下:
-
就近日有传媒报道网上传闻提到有银行即将进行的一项系统提升是拟将香港客户资料整合并互通至香港以外地方的事宜,私隐专员知悉事件,亦留意到相关银行于本月26日所发出的新闻稿中提及严格遵守资讯安全相关的法规以妥善处理客户的个人资料。私隐专员会密切留意最新情况及其对个人资料私隐的影响。
-
一般而言,银行(作为资料使用者)在香港控制收集、持有、处理或使用(包括披露和转移)客户的个人资料时,都须遵从《个人资料(私隐)条例》(《私隐条例》)下的规定及其六项保障资料原则。如银行欲转移客户的个人资料至香港以外地区,虽然现时《私隐条例》第33条尚未实施,但转移个人资料至香港境外仍受《私隐条例》下的相关保障资料原则所保障,其中:
-
银行在收集资料时通知客户资料承转人的类别(保障资料第1(3)原则);
-
银行聘用资料处理者在香港或香港以外代为处理客户的个人资料,必须以合约或其他方法规范,以防止资料转交给资料处理者后其保留的时间长于实际所需(保障资料第2(3)原则);
-
除非已获得客户同意,银行把客户的个人资料转移至另一司法管辖区的目的,必须符合原初收集资料的目的(保障资料第3原则);及
-
银行必须采取合约或其他规范方式,以防止有关的个人资料经资料处理者而在未获其准许的情况下或意外地被查阅﹑处理﹑删除﹑丧失或使用(保障资料第4(2)条)。
另一方面,如资料使用者转移资料予香港境外的外判代理进行处理,该资料使用者仍须就其代理不当处理个人资料的所有作为负上《私隐条例》下的法律责任。
-
鑑于银行在日常营运中需要处理大量客户的个人资料,因此私隐专员刊发了《银行业界妥善处理客户个人资料指引》,向银行就保障个人资料方面提供以下建议及良好行事方式,当中包括:
-
在收集资料时告知客户转移资料事宜
如银行拟把所收集的个人资料转移至香港以外地方,在收集资料时,银行应告知客户资料承转人的类别。此外,良好的行事方式亦包括告知客户将转移至香港以外的资料种类、转移的目的,及资料被转移至的地方(如银行认为适合)。如银行没有转移资料的意图,亦可告知客户。
-
不将资料用于新目的及不转移不准确的资料
除非已获得客户同意,转移客户个人资料必须符合资料原本的收集目的或直接有关的目的。
如有合理理由相信有关资料是不准确,除非及直至资料已被更正,否则不应转移有关资料。
-
保障资料所采取的步骤
在传输客户资料时,银行必须采取保安措施保障资料不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响。如资料是经互联网传送,银行需要特别小心,确保设有足够的保安措施,例如将资料加密。在这方面,银行可参考《经互联网收集及使用个人资料:给资料使用者的指引》中「保障资料第4原则-个人资料的保安」一节。
如银行转移个人资料予资料处理者代其处理,该银行须采取合约规范或其他方法保障资料的安全。
如资料是转移至银行集团内的一间公司作某用途,该银行应确保在达致转移目的后适时要求该公司彻底地删除有关资料。
如资料是转移予资料处理者代银行处理资料,该银行须采取合约规范或其他方法防止有关资料被资料处理者保留超过所需的时间。
至于银行可采取甚么合约规范或其他方法以确保转移予资料处理者的资料安全及获得妥善处置,可参考《
外判个人资料的处理予资料处理者》资料单张。
-
在跨境资料私隐执法方面,私隐专员与其他国家及地区的私隐执法机关一直保持紧密联系和合作,互相分享资讯及提供协助,因此若发现有相关的违反《私隐条例》规定的情况,私隐专员会考虑联络相关地区的私隐执法机构以作跟进。
-
任何人士如怀疑其个人资料私隐受到侵犯,而又能提供表面证据,可以向公署作投诉。公署在收到投诉后会接触投诉人及被投诉者,就个案作出跟进,因应个案情况决定是否进行调查,以确定被投诉者是否有违反《私隐条例》的规定。
(如需引述,请写香港个人资料私隐专员黄继儿)