回应传媒查询或报道

2018年4月13日

公署回应有关电子支付工具对个人资料私隐保障的事宜

谢谢你的查询，有关电子支付工具对个人资料私隐保障的事宜，公署现综合回复如下：
 

• 由2015年1月1日至2017年12月31日，公署曾接获15宗涉及电子支付系统／电子钱包的投诉个案，投诉性质主要与网上支付系统要求使用者提供身份证明文件以核实身份有关。

 

• 一般而言，任何商户以至电子支付系统／电子钱包供应商（作为资料使用者）必须按《个人资料（私隐）条例》（《私隐条例》）的规定妥善保留及删除顾客／用家的个人资料，其中商户以至电子支付系统／电子钱包供应商须采取所有切实可行的步骤：
  • 确保个人资料的保留时间不得超过达致原来目的的实际所需（保障资料第2(2)原则）；及
  • 删除已不再为使用目的而需要保留的个人资料，除非受任何法律禁止或不删除该资料是符合公众利益的（《私隐条例》第26条）。

《私隐条例》并没有指明资料使用者保留个人资料的期限。商户以至电子支付系统／电子钱包供应商应按其业务的实际所需、其收集个人资料的原来目的，以及为符合其他法定要求[1]或公众利益而决定保存个人资料的期限。（如：商户于优惠期内提供额外折扣予多次购买某类货品的客户，因而需要在该段时间内保留顾客相关的购物纪录及资料。在优惠期完结后，商户应尽快删除顾客相关的购物纪录及其他个人资料。）

• 在目前的大数据经济下，个人资料可能被大量收集、转移及分析，以推测个别人士的生活习惯、喜好、信贷评分等。虽然有关分析可能有助提升个人获得的产品及服务质素，但亦可能会对个人私隐构成侵害。巿民（作为电子支付系统／电子钱包的用家）要懂得「自保」，在选择下载或使用任何电子支付系统／电子钱包，又或透过相关供应商所提供的应用程式或网站平台提供个人资料时，应注意以下事项：
  • 查明其私隐政策和收集个人资料声明，了解电子支付系统／电子钱包供应商如何查阅、上载、分享或处理收集所得的个人资料，衡量资料的收集是否有需要抑或是超乎适度，以及有关资料的使用、分享及处理对私隐可能构成的侵害与其带来的便利是否合符比例，再决定是否提供你的个人资料及安装；
  • 了解电子支付系统／电子钱包的应用程式／网站平台的私隐设定，拣选合适的选项；
  • 检视相关程式网站平台可以查阅甚么资料，并在有需要时关闭查阅功能；
  • 切勿在公共Wi-Fi或不安全的Wi-Fi连接下操作电子支付系统／电子钱包；
  • 在可行的情况下，核实及检查QR码有没有被篡改，并且不要在QR码带你到访的网站上输入个人或财务等敏感资料
  • 设定复杂的密码，亦不要将同一密码用于其他敏感性较低的服务；
  • 确保用来操作电子支付系统／电子钱包的智能装置已启动适当的防盗功能，并安装最新的保安修补程式及防病毒软件；
  • 切勿开启来历不明的电邮附件或点击可疑的连结；及
  • 定期监察电子支付系统／电子钱包的交易记录，留意是否有未获授权的活动。