新聞稿

 

 
商场会员计划
 
就商场方面的循规审查结果显示，31个会员计划（佔巡视期间发现的52个会员计划[1]中的60%）收集个人资料（包括联络方法、敏感个人资料和个人及家庭状况相关的资料）时抱有「宁滥勿缺」的心态，有违《个人资料（私隐）条例》（《私隐条例》）下的不过度收集资料的原则和收集最少资料的行事方式。其中黄埔天地收集最少的个人资料，其会员计划只收集三项个人资料，被视为最私隐友好的商场。
 
此31个会员计划由25个商场提供，它们位于13个地区，其中五个位于油尖旺区、四个位于湾仔／铜锣湾、三个则位于将军澳／西贡，而中／西区、观塘和荃湾区则各有两个商场。
 
是次循规审查结果亦发现：

• 部分商场会员计划收集的个人资料，除了基本的联络资料（如姓名、电话、地址和电邮地址）外，亦包括较敏感的个人资料（如生日资料、年龄、香港身份证号码），以至个人及家庭状况（如每月收入、婚姻状况、是否车主，及车牌号码等）；
• 有三个会员计划（佔52个会员计划之中的6%）收集18项个人资料；
• 有20个会员计划（佔52个会员计划之中的38%）要求会员强制提供不必要的个人资料；及
• 有八个会员计划（佔52个会员计划之中的15%）在设计上强迫顾客同意有关机构可使用其个人资料作直接促销用途，而顾客就此没有其他选择。

 
在上述「綑绑式同意」的做法及设计下所获取的同意，不能视为真正和有意义的同意。其做法及设计实际上亦构成不公平收集个人资料，因此应予以停止，而有关商场亦已作出相应更改。
 
就商场之会员计划所收集的个人资料方面，一般而言，私隐专员接受为识辨身份和通讯目的而收集联络资料。然而，会员计划收集香港身份证号码一般会被视为过度收集个人资料，因为香港身份证号码属敏感的个人资料，处理不当会造成如身份盗窃等不必要的风险。
 
至于为市场分析及提供合适优惠的目的而收集个人及家庭状况有关的个人资料，一般而言可以接受，但同时会员应有不提供这些资料的选择。
 
就身份证号码与个人及家庭状况有关的个人资料方面，私隐专员欣悉在巡视的52个会员计划之中：

• 45个（佔52个会员计划之中的87%）未有收集会员的香港身份证号码；及
• 32个（佔52个会员计划之中的62%）给予会员可不提供部份个人资讯（如年龄、工作地区、职业等）及家庭状况的选项，或完全没有要求这些资料。

 
网上推广活动
 
在网上推广活动方面，是次循规审查行动的结果显示：

• 相比其他行业，美容、教育和保健产品及服务业较多利用网上推广活动，分别佔是次审查的300个网页之中的44%、18%及8%；及
• 由于网上推广活动的目的只为吸引顾客领取推广优惠，只有20个网上推广活动（佔300个网页之中的6%）涉及过度收集个人资料，包括香港身份证号码、生日资料、年龄及每月收入。

 
私隐专员黄继儿表示：「是次进行的循规审查切合公署的教育及推广策略，重点放于作为资料使用者的机构上。在数据驱动的经济下，机构需要处理的个人资料与日俱增，因此将数据管治和管理以至数据道德伦理（包括尊重、互惠和公平） 纳入机构管治中，作为长远应对个人资料私隐保障的方案至为重要。公署即将展开题为『实践数据道德』的私隐关注运动，亦充分展现此策略，期间将举办一系列以机构为对象的推广活动，借以推动将数据道德伦理纳入机构日常运作中，在充分利用数据驱动经济的好处同时，亦能保障和尊重个人资料私隐。」