日期: 2018年5月11日
公署回应有关港铁就高铁票务系统采用实名制购票事宜
谢谢你的查询,有关港铁就高铁票务系统采用实名制购票事宜,公署现综合回复如下:
-
港鐡曾于今年2月就高铁香港段采用实名制票务系统所作的私隐评估影响报告联络公署,而公署亦就相关的范畴提供一般性意见及指引资料,以助港鐡在采用相关票务系统时能遵从《个人资料(私隐)条例》(《私隐条例》)的规定。
-
一般而言,任何在香港控制收集、持有、处理或使用(包括披露和转移)个人资料的机构(即资料使用者),必须遵从《私隐条例》的规定,包括六项保障资料原则。如机构欲转移客户的个人资料至香港以外地区,虽然《私隐条例》当中规管该活动的第33条尚未实施,但转移个人资料至香港境外仍受《私隐条例》下的相关保障资料原则所保障,其中:
-
机构在收集资料时通知资料当事人资料承转人的类别。(保障资料第1(3)原则)
-
机构把个人资料转移至另一司法管辖区的目的,必须符合原初收集资料的目的。(保障资料第3原则)
此外,如在转移个人资料后,机构仍保留对资料的控制,则《私隐条例》的所有条文继续适用于有关资料。
-
私隐专员已建议港铁参考公署所刊发的《保障个人资料:跨境资料转移指引》(《指引》),采取适当措施以保障个人资料,以尽企业管治责任,同时为第33条的实施作好准备,其中:
-
第33(2)(c)条订明,若资料当事人以书面同意该项转移,又或该资料凭借《私隐条例》第8部下的豁免而不受保障资料第3原则所管限,方可将资料转移至香港以外的地方。
-
作为良好的行事方式,资料使用者在将个人资料转移至香港以外之前,应采取有效办法(例如合约规范或协议),以确保个人资料在境外仍获得等同《私隐条例》所提供的保障(「克尽职责的规定」)[1]。
《指引》中附有一套资料转移的范本条文,协助资料使用者就跨境转移资料制订有效合约或协议,以符合克尽职责的规定。该范本条文列出资料承转人在个人资料保留及删除方面的义务,其中包括:
-
保留个人资料的时间不得超过履行资料使用的目的所需的时间;
-
须在收到转移人所发出的指示后,立即删除个人资料;
-
特别承诺采取符合《私隐条例》的规定的措施以删除个人资料。
-
《私隐条例》并没有指明资料使用者或资料承转人保留个人资料的期限。机构应按其业务的实际所需、其收集个人资料的原来目的,以及为符合其他法定要求[2]或公众利益而决定保存个人资料的期限。
-
资料使用者应对资料承转人的日常运作作出定期的审核及视察,以确保它们遵从资料转移协议内所列的责任。
(如需引述,请写香港个人资料私隐专员黄继儿)
[2] 举例来说:《税务条例》( 香港法例第 112 章 ) 第 51C 条要求每名在香港经营业务的人,须就其入息及开支备存足够的纪录,并须在有关交易完结后,保留该纪录为期最少 7 年。