新聞稿

个人资料私隐专员公署（私隐专员公署）今日发表两份报告：（一）《调查报告：未经授权查阅TE信贷资料库的信贷资料》；及（二）《数码时代的私隐保障：比较十大网购平台的私隐设定》报告，并就《使用网购平台的保障私隐贴士》出版一份单张。

1. 调查报告：未经授权查阅TE信贷资料库的信贷资料

在这个案中，私隐专员发现软媒科技没有采取适当的保安措施以监察及管理财务公司查阅及使用TE信贷资料库的情况，导致投诉人的个人资料遭未经授权的查阅、处理或使用，实属遗憾。再者，软媒科技并没有因应相关资料的数量及性质而采用强密码政策，亦没有为密码设定有效期。相关密码的设置并不符合网络安全的基本要求，显示了软媒科技在个人资料的保安方面明显不足。此外，软媒科技现时仍然保留五万多宗已完成还款超过五年的信贷纪录，属不必要的逾期保留，除了漠视《个人资料（私隐）条例》（《私隐条例》）的规定外，亦增加了相关借款人个人资料外洩的风险。

基于上述情况，私隐专员认为软媒科技未有采取所有切实可行的步骤保障其持有的TE信贷资料库内的个人资料不受未获准许的或意外的查阅、处理或使用所影响，违反了《私隐条例》附表1的保障资料第 4(1)原则有关个人资料保安的规定，以及保存个人资料超过所需的时间，违反保障资料第2(2)原则的规定。
 
私隐专员已向软媒科技发出执行通知，指示软媒科技纠正其违反事项，以及防止同类违反的行为再发生。
 
个人资料私隐专员钟丽玲指出：「现时TE信贷资料库的营运及管理，并不受行业守则及金融行业相关法例规管，情况并不理想。为了保障借款人的个人资料私隐及确保资料库的数据安全，我建议任何信贷资料库的营运及管理都应该受到规范或监管，这包括以法例、法规、指引、行业守则或发牌制度去规管。」

私隐专员亦希望借此报告，向软媒科技及其他个人信贷资料库的营运商作出下述建议：
 

• 实施私隐管理系统，将个人资料私隐保障纳入机构的数据管治责任；
• 委任保障资料主任，监察《私隐条例》的遵从；
• 聘用独立循规审核人士，定期就信贷资料机构提供个人信贷资料服务的机制及方法进行循规审核；及
• 增加违规情况的罚则，减少财务公司再次发生违规的情况。

下载《调查报告：未经授权查阅TE信贷资料库的信贷资料》：
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r23_21242_c.pdf

2.《数码时代的私隐保障：比较十大网购平台的私隐设定》报告及《使用网购平台的保障私隐贴士》单张

随着互联网及网上交易平台发展越趋成熟，网上购物变得越来越普及。在网上购物为消费者带来各种便利及好处的同时，亦带来了一些个人资料私隐方面的风险。因此，私隐专员公署检视了10个本地消费者常用的网购平台（包括有关营运商的网站及应用程式）的私隐设定，包括Baby Kingdom – BKmall（BKmall）、Carousell、eBay、Fortress、HKTVmall、京东、PlayStation App（PlayStation）、Price.com.hk香港格价网、Samsung及淘宝，以了解这些网购平台收集及使用用户个人资料的情况，并在今日发表《数码时代的私隐保障：比较十大网购平台的私隐设定》报告及《使用网购平台的保障私隐贴士》单张。

根据检视结果，私隐专员公署对被检视的网购平台在保障用户私隐方面的整体观察如下：
 

• 所有被检视的网购平台都有拟定私隐政策，而私隐政策订明它们收集个人资料的种类由12至23项不等；
• BKmall、eBay、Price.com.hk及Samsung 不需要用户注册帐户亦可进行购物；
• 大部分平台最低注册年龄为18岁，只有BKmall、Price.com.hk及淘宝没有列明最低注册年龄；
• PlayStation及Samsung会透过所收集得的用户出生日期确认用户是否年满18岁，而eBay及HKTVmall会要求用户在注册时确认已年满18岁。Carousell、Fortress及京东并无措施防止18岁以下人士注册帐户，这与相关平台所定的最低注册年龄不符；
• BKmall、Carousell、Fortress及Samsung会在用户注册时提供选项，让用户选择是否同意接收广告讯息或促销资讯；eBay、HKTVmall、PlayStation及Price.com.hk亦提供有关选项，但选项则预设为同意；淘宝在用户注册时未有提供有关选项，但在「账号设置」栏目提供用户开启或关闭「个人化推荐」功能；而京东在用户注册时未有提供有关选项，亦未能显示征求相关同意的讯息；
• 所有被检视的平台都有进行用户追踪，涉及的资料包括位置资料、浏览纪录、交易纪录及装置资料等；
• 所有被检视的网购平台均在私隐政策中表示会将用户个人资料转移至第三方，例如业务合作夥伴、附属或关联公司、广告及促销合作夥伴、外部服务供应商等；
• 大多数被检视的网购平台都接受用户透过第三方支付平台进行付款；
• Carousell、eBay和PlayStation在私隐政策的易读性方面排名最高；及
• 所有被检视的网购平台都容许用户删除帐户，而当中Carousell、eBay、京东及Price.com.hk 为用户提供较明确的删除帐户方法。 

私隐专员公署已经将报告送交各网购平台营运商者，并向平台营运商提供以下建议：

1. 委任保障资料主任以监察遵从《私隐条例》的情况，并设立个人资料私隐管理系统；
2. 只收集必须的个人资料：网购平台应允许用户以访客身分购物，并仅向他们收集处理交易所需的个人资料；
3. 提供使用个人资料于直接促销的选项：清晰向用户表达会使用他们的个人资料向他们提供直接促销资讯，并就此征求用户的同意，而有关选项应避免预设为同意；
4. 提供安全的付款渠道：向用户提供安全的付款方法或渠道，例如可信赖的第三方支付平台；
5. 提供清晰易明及全面的私隐政策：采用分层式展示或以图片、短片或其他简洁易明的方式辅助说明有助增加私隐政策或相关内容的易读性；
6. 谨慎使用第三方服务：网购平台应确保第三方服务提供者在私隐保障及资讯安全方面的可靠性；
7. 提高追踪用户活动的透明度：清晰向用户表达如何追踪用户活动及追踪的目的，并为用户提供适当的选项，以让他们决定是否愿意接受此类追踪；
8. 采用预设私隐：在设计平台时采用「贯彻私隐设计」及「预设私隐」模式，这包括将所有与私隐有关的选项预设为保障用户私隐的选项；
9. 提供足够的用户控制权：为保护用户的私隐，提供更多的私隐设置控制选项，包括免登记的登入方式、接收各类讯息的偏好、用户追踪及删除纪录（例如交易或搜索纪录）等；及
10. 提供方便的删除帐户选项：提供简单的删除帐户方法，方便用户之余，亦可减少储存已不再使用平台的用户的资料。

个人资料私隐专员钟丽玲表示：「毫无疑问，网上购物为用户带来各种好处，并成为很多人日常生活的一部分。然而，网购平台收集及使用用户的个人资料，亦带来了一些个人资料私隐的风险。我呼吁用户提高警觉，精明使用网购平台，以减低对个人资料私隐所带来的风险。就此，私隐专员公署出版了《使用网购平台的保障私隐贴士》单张，向用户提供安全网购及保障个人资料私隐的贴士。」
 
私隐专员公署向网购平台的用户提供以下建议：
 
保障个人资料私隐

• 提供最少量的个人资料：仅提供完成注册及交易所需的最少量资料，或考虑以访客身分进行交易；
• 注意有关直接促销的设定，根据自身需要作出相应的选择；
• 考虑使用第三方支付平台：使用可信赖的第三方支付平台结账；
• 阅读私隐政策，了解平台收集个人资料的目的及使用方式；
• 调整私隐设定：检查预设的私隐和安全设定，删除非必要的追踪功能或索取资料的权限；
• 删除不再使用的帐户，避免身分盗窃及减低资料外洩风险；

安全网购

• 检查平台的真确性，确保网站或应用程式是官方提供的，可先搜寻平台的资料；
• 安全地使用平台：避免使用公众Wi-Fi进行交易，并使用高强度的密码；及
• 点击前先「停一停、谂一谂」，切勿随便交出个人资料。如有怀疑，可考虑使用「防骗视伏器」（www.cyberdefender.hk）查一查。
• 定期查看网上购物帐户并报告问题，若怀疑被骗，应立即报警或联络私隐专员公署。

下载《数码时代的私隐保障：比较十大网购平台的私隐设定》报告：
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/pcpd_digitalage_pamphlet.pdf
 
下载《使用网购平台的保障私隐贴士》单张：
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/pcpd_digitalage_leaflet.pdf

 

私隐专员钟丽玲（中）、高级律师吴颖轩（左）及署理首席个人资料主任（合规及查询）郭正熙（右）讲解未经授权查阅TE信贷资料库的调查报告及《比较十大网购平台的私隐设定》报告。

－完－