2018年4月19日
公署跟进有关香港寛频一宗怀疑客户资料库遭入侵导致客户的个人资料可能外洩事件
谢谢你的查询,跟进有关香港寛频一宗怀疑客户资料库遭入侵导致客户的个人资料可能外洩事件,公署现综合回复如下:
-
私隐专员已联络香港寛频,并已就事件展开循规审查。公署会按照《个人资料(私隐)条例》(《私隐条例》)的规定及既定程序跟进事件。
-
一般而言,任何机构必须按《私隐条例》的规定妥善保留及删除客户的个人资料,其中机构须采取所有切实可行的步骤:
-
确保个人资料的保留时间不得超过达致原来目的的实际所需(保障资料第2(2)原则);及
-
删除已不再为使用目的而需要保留的个人资料,除非受任何法律禁止或不删除该资料是符合公众利益的(《私隐条例》第26条)。
-
《私隐条例》并没有指明资料使用者保留个人资料的期限。机构应按其业务的实际所需、其收集个人资料的原来目的,以及为符合其他法定要求[1]或公众利益而决定保存个人资料的期限。一般而言,机构在交易完成后,可保留有关纪录7年。
-
截至今日(2018年4月19日),公署接获与事件相关的查询共14宗,投诉则有五宗。
[1] 举例来说:《税务条例》( 香港法例第 112 章 ) 第 51C 条要求每名在香港经营业务的人,须就其入息及开支备存足够的纪录,并须在有关交易完结后,保留该纪录为期最少 7 年。