2018年4月23日
公署跟进有关香港寛频一宗怀疑客户资料库遭入侵导致客户的个人资料可能外洩事件
谢谢你的查询,跟进有关香港寛频一宗怀疑客户资料库遭入侵导致客户的个人资料可能外洩事件,公署现回复如下:
-
私隐专员就事件已展开循规审查。公署会按照《个人资料(私隐)条例》(《私隐条例》)的规定及既定程序跟进事件。
-
截至今日(2018年4月23日),公署接获与事件相关的查询共30宗,投诉则有11宗。
-
基于公署作为独立的法定监察及调查机构,公署不适宜评论个别机构拟推行的任何涉及个人资料保存的政策。一般而言,任何机构必须按《私隐条例》的规定妥善保留及删除客户的个人资料,其中机构须采取所有切实可行的步骤:
-
确保个人资料的保留时间不得超过达致原来目的的实际所需(保障资料第2(2)原则);及
-
删除已不再为使用目的而需要保留的个人资料,除非受任何法律禁止或不删除该资料是符合公众利益的(《私隐条例》第26条)。
-
不论公私营机构,作为资料使用者,必须按《私隐条例》规定妥善储存客户的个人资料,并采取切实可行的步骤,保障个人资料不会未经授权或意外地被查阅、处理、删除、丧失或使用,否则便有可能违反《私隐条例》下的资料保安原则 [1]。
若违反保障资料原则,私隐专员可发出执行通知,指令资料使用者采取补救措施,以免触犯《私隐条例》的规定。不遵守执行通知即属犯罪。违法者一经定罪,最高可被判处罚款五万元和监禁两年。如罪行持续,可处每日罚款一千元。
[1] 《私隐条例》下的保障资料第4原则 – 资料保安原则