流動Wi-Fi數據機租借公司對客戶個人資料所採取的保安措施不足
投訴內容
投訴人是流動Wi-Fi數據機租借公司(「該公司」)的客戶。他在該公司位於香港國際機場客運大樓的櫃台提取Wi-Fi數據機時留意到,該公司使用共用的簽收表格,客戶在簽收時可以查閱到其他客戶的個人資料,包括英文全名、租借時段及目的地。另一方面,該公司亦在非營業時間將該簽收表格放置在櫃台供客戶自行簽收而未有安排員工當值,以致客戶的個人資料有可能被其他人士查閱。
結果
經私隱專員公署介入後,該公司已修改共用簽收表格上的格式,當中包括移除表格上目的地一欄,而姓名一欄中只顯示客戶的姓氏和名字的首字母,令他人不能從簽收表格上有限的資料確定客戶身份。此外,該公司並以非透明的紙張遮蓋簽收表格上其他人士的資料,以防他人意外的查閱到簽收表格上的資料。
私隱專員公署亦就事件告誡該公司,要求他們採取適當及切實可行的措施,以保障客戶的登記資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用。同時要求他們提供培訓予員工,以提高員工對保障個人資料私隱的意識。
借鑑
資料使用者使用共用表格登記個人資料的情況並非不普遍,惟有關做法或會令登記的客戶查閱到較早前已登記人士的資料,以致客戶的個人資料外洩,做法並不可取。私隱專員公署明白在個案中,有關的資料使用者因應其實際營運模式難以安排員工24小時當值以協助客戶完成簽收程序。在這情況下,資料使用者更應在簽收表格上的格式著手,只顯示就簽收程序而言必要的資料,以減低客戶資料外洩的風險。同時,資料使用者亦可考慮將簽收程序電子化,以電腦系統取代實體的共用簽收表格,令客戶在簽收時不會查閱到其他客戶的資料,以確保客戶的個人資料私隱受到更妥善的保障。
上載日期:2024年2月