日期: 2020年6月12日
公署回应传媒查询有关银行处理客户资料的事宜
就 贵传媒查询有关银行处理客户资料的事宜,香港个人资料私隐公署
在不评论个别个案的前提下,现就《个人资料(私隐)条例》(《私隐条例》)的相关内容回应如下:
问题
「1. 有银行打算把部分处理及审查客户资料的工作,转交位于广西南宁的全资附属公司负责,请问银行在作出有关决定时,有否知会私隐专员公署 / 取得公署的同意?
2. 该银行的服务条款预设客户同意把资料转移至香港以外的其他司法管辖区,并进行任何配对程序,客户如有异议,则须给予银行 30 日事先通知。惟于今次事件,客户根本未必知道银行有这样的安排,更遑论通知银行撤回同意,请问公署认为这样的安排是否妥当?会否建议该银行通知客户?会否给予银行客户任何建议?」
答:问题1
-
《私隐条例》没有规定资料使用者(机构)在使用(包括披露和转移)个人资料前须知会私隐专员或取得私隐专员的同意,惟须遵守《私隐条例》的相关规定。
答:问题2
-
所有机构作为资料使用者,如在香港控制收集、持有、处理或使用(包括披露和转移)个人资料,均受《私隐条例》的规管,因此必须遵从《私隐条例》规定,包括六项保障资料原则。
-
根据《私隐条例》有关收集个人资料的保障资料第1原则,资料使用者须以切实可行的方法,在收集用户个人资料时或之前,明确告知资料当事人收集及使用其个人资料的目的,以及该个人资料可能会被转移给甚么类别的人士。因此,机构如拟把所收集的个人资料转移至香港以外地方的人士,在收集资料时,应告知客户会转移个人资料给甚么类别的人士。
-
《私隐条例》保障资料第3原则亦订明,个人资料只限使用于收集时述明的目的或直接相关的目的,除非得到资料当事人的自愿和明确的同意,或者根据情况而资料使用者决定引用《私隐条例》第8部的豁免。
-
因此,机构即使把客户的个人资料转移至香港以外地方作处理,而该机构是从香港控制有关资料的处理,仍须确保使用该些资料的目的是与其当初收集该资料的目的一致或直接有关,以符合《私隐条例》的规定。
-
至于预设客户同意的做法,在《私隐条例》下并无禁止。
-
私隐公署建议客户在提供其个人资料时,应先仔细阅读机构所提供的《收集个人资料声明》,了解其收集资料的目的、资料可能会被转移给甚么类别的人士。如有任何疑问,可即时向机构查询。
-
私隐公署亦提议资料使用者,除了处理个人资料时需要符合《私隐条例》,更佳的做法是采纳私隐公署倡议的数据道德价值行事准则,即以尊重、公平和互惠的原则处理个人资料,具透明度和可解释性,以符合持份者的期望。