問: 我們從事銀行業務。我們希望知道條例第35條所指的「繼後收集」的定義,以及客戶帳目下的交易是否屬於「繼後收集」。
其次,關於條例第35(1)b(i)條 所指的「重要分別」的意思,我們希望得到貴公署的意見。請告訴我們,下列的「繼後收集」情況,與「首度收集」是否有「重要分別」:
(a)我們的銀行要求現有的帳戶持有人提供額外資料。
(b)現有的帳戶持有人成為另一宗交易的擔保人,而我們要求他再次提供其個人資料。
答:.我們認為,客戶帳目下所有涉及收集個人資料的交易,均相當於條例第35條所指的繼後收集。舉例而言,這類交易包括從自動櫃員機提款,因為這涉及記錄有關人士在自動櫃員機輸入的指令。
2(a)條例第35條所指的「重要分別」,基本上適用於根據條例附表1保障資料 第1(3)原則必須給予有關人士的資料。特別是根據第1(3)原則 ,向資料當事人收集資料的資料使用者必須明確告知該當事人:
(i) 收集資料的目的;
(ii) 有關資料可能轉移予什麼類別的人士;以及
(iii) 他有權要求查閱及改正有關個人資料,以及應向誰人提出這項要求。
由於上述資料並不直接與所收集的個人資料的類別或數量掛,因此,資料收集人是可以在第1(3)原則規定的資料沒有「重要分別」的情況下收集「額外資料」的。不過,情況是否如此,視乎個別個案而定。舉例而言,如果是為了之前並未通知當事人的目的而收集「額外資料」,便會有條例第35條所指的「重要分別」。
(b)一般而言,從一名擔保人收集的資料,其使用目的應有別於從一名之前並無擔任擔保人,或從一名並無以主要借款人身分向有關機構借款的人士收集的資料。例如,向前者收集資料,目的之一是追討該擔保人可能要承擔的債項,這對後者並不適用,因此便會有條例第35條 所指的「重要分別」。