日期: 2017年5月23日
公署參與全球抽查行動 探討消費者對「顧客獎賞計劃」所收集其個人資料的可控程度
(2017年5月23日)香港個人資料私隱專員公署(「公署」)響應「全球私隱執法機關網絡」(Global Privacy Enforcement Network)的年度聯合行動,於2017年5月22至26日進行抽查行動[1]。今年的主題是「用戶對其個人資料的可控程度」,參與的私隱執法機關會檢視企業或機構與客戶(即資料當事人)在私隱溝通方面的做法,以及客戶是否容易行使他們對其個人資料的權利及控制。
參與的私隱執法機關可聚焦於不同範疇,例如健康護理、零售、旅遊等。公署會檢視不同行業營運的顧客獎賞計劃,以了解計劃營運者如何收集及使用顧客的個人資料;處理個人資料的透明度;顧客在使用和保留個人資料方面的可控程度等。
企業以顧客獎賞計劃吸引及保留顧客的做法十分普遍。一般而言,商戶透過提供誘因,例如折扣、印花或積分,鼓勵顧客再度光顧及增加消費。
為了管理這些獎賞計劃,企業或機構無可避免會收集一些個人資料作記錄及換領禮品的用途。不過,它們通常亦會收集及編撰顧客的購物習慣及個人喜好的資料。商戶會利用這些資料促銷產品,或可能交予其他機構作進一步處理及分析。有關資料亦會用來預測顧客的潛在「消費清單」,以製作目標廣告。除了個人資料的收集及使用,資料保安及資料的保留時期亦是令人關注的問題。
是次抽查行動會探討商戶向顧客收集個人資料時有否向他們提供足夠及具透明度的資訊;資料的收集是否公平及不超乎適度;資料是如何使用;以及客戶是否獲提供足夠的途徑以控制其個人資料,例如控制資料的保留及轉移。
香港個人資料私隱專員黃繼兒表示:「人們很重視對其個人資料的可控性。企業所收集的個人資料越來越廣泛,特別是透過網上及其他自動化方式所收集的資料。這些資料可被用於設計針對性的廣告及建議,以提供個人化的服務;但與此同時,有關使用可以是侵犯私隱的。在企業為正當目的而收集、使用及處理個人資料,與個人的私隱權利之間,必須作出恰當的平衡。顧客能夠給予知情同意(從而不會讓顧客感到驚訝),及對其個人資料的處理有具意義的選擇,是取得這平衡的要素。」
是次抽查的報告將於本年第四季發表。如有需要,公署會作出跟進行動,例如推出教育及推廣活動、加強與相關機構的溝通,甚至採取執法行動。
-完-
附表 – 2017年參與的私隱執法機關
|
國家/地區 |
機構名稱 |
|
阿爾巴尼亞 |
Information and Data Protection Commissioner |
|
澳洲 |
Office of the Australian Privacy Commissioner |
|
澳洲,維多利亞州 |
Office of the Commissioner for Privacy and Data Protection |
|
澳洲 |
Office of the Children’s eSafety Commissioner |
|
加拿大 |
Office of the Privacy Commissioner |
|
加拿大,艾伯塔省 |
Office of the Information and Privacy Commissioner of Alberta |
|
加拿大,卑詩省 |
Office of the Privacy Commissioner for British Columbia |
|
加拿大,安大略省 |
The Office of the Information and Privacy Commissioner of Ontario |
|
中國,香港 |
香港個人資料私隱專員公署 |
|
中國,澳門 |
澳門個人資料保護辦公室 |
|
哥倫比亞 |
Superintendencia de Industria y Comercio |
|
愛沙尼亞 |
Estonian Data Protection Inspectorate |
|
法國 |
Service des affaires economiques |
|
德國 |
Bavarian Data Protection Authority |
|
德國,黑森州 |
Data Protection Commissioner of Hessen |
|
直布羅陀 |
Gibraltar Regulatory Authority |
|
愛爾蘭 |
Office of the Data Protection Commissioner |
|
以色列 |
Israeli Law, Information and Technology Authority |
|
意大利 |
Garante Per La Protenzione Dei Dati Personali |
|
日本 |
Personal Information Protection Commission |
|
南韓 |
Korea Internet & Security Agency |
|
墨西哥 |
National Institute for Transparency, Access to Information and Personal Data Protection (INAI) |
|
摩洛哥 |
CNDP |
|
新西蘭 |
Office of the Privacy Commissioner |
|
新加坡 |
Personal Data Protection Commission |
|
英國 |
United Kingdom Information Commissioner’s Office |
|
美國 |
Federal Trade Commission |
[1] 「全球私隱執法機關網絡」的成立旨在促進私隱執法機關之間的跨境合作。今年,27個世界各地私隱執法機關包括公署(見附表)參與是次抽查行動,藉以加強公眾及商業機構對保障私隱的權利和責任的認識,找出值得關注的私隱議題,以及鼓勵業界遵從私隱法規。公署自2013年起每年進行類似的抽查行動。