據一些本地報章報導,一間銀行向購買禮券的非戶口持有人收集他們的身份證副本、地址及聯絡資料。在得悉此事後,公署主動聯絡有關銀行跟進事件。
此個案與《個人資料(私隱)條例》(下稱「條例」)附表1的保障資料第1(1)條原則直接有關。保障資料第1(1)條原則訂明個人資料是為了直接與將會使用該等資料的資料使用者的職能或活動有關的合法目的而收集。此外,第1(1)原則亦訂明就該目的而言,資料屬足夠但不超乎適度。而公署發出的《身分證號碼及其他身分代號實務守則》(下稱「守則」)第3.1至3.4段特別訂明可收集個人的身分證副本的情況。
公署就此事向香港金融管理局(下稱「金管局」)查詢,就上述情況是否符合該局發出的《防止清洗黑錢活動指引》(下稱「指引」),尋求金管局的意見。金管局證實雖然該局並無就禮券業務發出具體指引,但向銀行購買禮券的客戶一般被視為銀行「業務」的申請人。指引第5.26條與為非戶口持有人進行的交易有關。該條文訂明當交易涉及大量現金或屬於不尋常的交易時,銀行必須要求有關申請人出示明確的身份證明文件,並須將該等身份證明文件副本存檔。
公署認為即使銀行以指引第5.26條為收集身份證副本的依據,但禮券一般會否如該條文所述涉及大量金錢或可被視為不尋常交易,這點頗成疑問。
最後,有關銀行同意修改它的做法,除非每次單一交易的金額超過十萬港元,否則不再向購買禮券的非戶口持有人收集他們的身份證副本。