信貸資料機構未有按《私隱條例》處理更改資料要求,並且將無關的資料納入個人信貸報告中 - 《私隱條例》第23、25條及保障資料第2(1)原則
投訴內容
投訴人為一名律師,他被委託擔任一名破產人士的受託人。該名破產人士為一宗民事索償案件的被告。投訴人其後發現信貸資料機構在其個人信貸報告中,錯誤地記錄他為上述索償案件的被告。
投訴人遂根據《私隱條例》向信貸資料機構提出更改資料要求,並向信貸資料機構提供該案件的誓章副本以證明他並非案中的被告,而是被告的受託人。
然而,信貸資料機構其後沒有從投訴人的信貸報告中,刪除有關該索償案件的資料,只按投訴人提供的誓章內容,更新了該索償案件的進度。投訴人遂向公署投訴該信貸資料機構。
結果
信貸資料機構未能向公署解釋,為何投訴人身為受託人(而非被告)一事,與他的個人信貸有關。公署認為,信貸資料機構未有確保投訴人的個人信貸報告準確,違反《私隱條例》的保障資料第2(1)原則。經公署介入,信貸資料機構最終從投訴人的個人信貸報告中,刪除有關該索償案件的資料,並向投訴人提供更正的報告。信貸資料機構同時修訂相關措施,確保日後不會將破產人士的訴訟資料,記錄於受託人的個人信貸報告中。
資料使用者在依從更改資料要求時,須根據《私隱條例》第23條向要求者提供經改正的個人資料複本。若涉事資料在資料使用者依從改正資料要求當日之前的12個月內曾被披露予第三者,資料使用者須向該第三者提供經改正的個人資料複本。假如資料使用者拒絕更改資料要求,資料使用者則須按《私隱條例》第25條,以書面回覆要求者,述明拒絕依從的理由。在本案中,該信貸資料機構並沒有根據《私隱條例》的上述規定,回應投訴人提出的更改資料要求。
因應本案的結果,公署向信貸資料機構發警告信,要求該機構務必緊遵《私隱條例》的規定,確保個人信貸資料的準確性,以及正確處理更改資料要求。
借鑑
根據公署依據《私隱條例》第12條發出的 《個人信貸資料實務守則》,信貸資料機構可從公眾記錄中(例如法庭資料和破產記錄)收集個人資料,並將有關資料收錄在個人信貸報告中。不過,信貸資料機構有責任確保所收錄的資料是與該人的個人信貸有關。公署認為,假如信 貸資料機構稍加審視傳訊令狀的內容,理應知悉投訴人並非案件的被告,便可避免本案的發生。
在數據推動的經濟下,客戶的個人資料已轉化成經營及推展企業業務的珍貴資產。信貸資料機構坐擁龐大的客戶資料庫,應恪守更高的道德標準,在符合《私隱條例》的同時,亦符合持份者的期望,以尊重、互惠和公平的方式使用客戶的個人資料。
上載日期:2020年8月