電訊公司在客戶已報失身份證的情況下仍接納有人以該身份證申請服務 — 保障資料第4原則 — 個人資料的保安
投訴內容
投訴人曾被賊人盜取財物及身份證。他就此分別致電及到訪其電話服務供應商匯報有關事件,並着職員於電腦系統內記錄有關事宜,以免賊人假冒其身份。及後,一名人士(該名人士)到訪該電訊公司的分行,以投訴人被盜的身份證作身份證明,成功停用了投訴人的電話號碼並簽署了兩份新合約。同時,該名人士亦更改了投訴人收取該電訊公司帳單的電郵地址。
投訴人不滿該電訊公司就事件的處理,遂就此向警方報案及向私隱公署提出投訴。
結果
該電訊公司確認投訴人曾就被盜取身份證一事向他們作出通知。然而,事發時該電訊公司並無就客戶報失身份證方面訂立妥善的行事方式以作出記錄,故其分行職員在處理該名人士的服務申請時,並不知道投訴人身份證被盜的情況,僅按一般核對客人身份證明文件的程序(即要求客人出示身份證明文件正本及核對文件上的資料)處理該名人士提出的要求。
因應本個案,該電訊公司就客戶報失身份證方面實施一系列的措施,包括要求報失身份證的客戶出示臨時身份證或其他身份證明文件予職員核對身份,並填妥一份「遺失身份證文件聲明書」。職員便會於電腦系統中標明不可再接納該報失的身份證作為該客戶的身份證明文件。另一方面,如職員遇上曾經報失身份證的客戶提出申請或更改服務,職員必須核對該客戶提供的身份證的簽發日期,以確保該身份證是在報失日期後發出的;如職員對該客戶的身份有懷疑,則必須要求該客戶出示其他身份證明文件。該電訊公司並規定所有這類個案必須經主管審批才可作進一步處理。
私隱公署就事件向該電訊公司發出警告,要求他們必須敦促職員嚴格遵循有關保障客戶個人資料方面的政策(包括就客戶報失身份證方面所實施的上述措施),加強對職員的培訓,並提醒他們須以謹慎的態度處理客戶的個人資料,以符合《私隱條例》的相關規定。
借鑑
今時今日,身份盜用個案屢見不鮮,資料使用者如何有效地保障客戶個人資料,面臨前所未有的挑戰。面對層出不窮的犯案手法,資料使用者必須訂立妥善的核實身份機制,才可避免不法分子有機可乘。在本個案中,若該電訊公司在案發時已備有妥善機制就客戶報失身份證的情況作出記錄及核證,便能有效識辨懷疑個案,亦可把握機會將賊人繩之於法。
上載日期:2022年9月