日期: 2020年6月12日
公署回應傳媒查詢有關銀行處理客戶資料的事宜
就 貴傳媒查詢有關銀行處理客戶資料的事宜,香港個人資料私隱公署
在不評論個別個案的前提下,現就《個人資料(私隱)條例》(《私隱條例》)的相關內容回應如下:
問題
「1. 有銀行打算把部分處理及審查客戶資料的工作,轉交位於廣西南寧的全資附屬公司負責,請問銀行在作出有關決定時,有否知會私隱專員公署 / 取得公署的同意?
2. 該銀行的服務條款預設客戶同意把資料轉移至香港以外的其他司法管轄區,並進行任何配對程序,客戶如有異議,則須給予銀行 30 日事先通知。惟於今次事件,客戶根本未必知道銀行有這樣的安排,更遑論通知銀行撤回同意,請問公署認為這樣的安排是否妥當?會否建議該銀行通知客戶?會否給予銀行客戶任何建議?」
答:問題1
-
《私隱條例》沒有規定資料使用者(機構)在使用(包括披露和轉移)個人資料前須知會私隱專員或取得私隱專員的同意,惟須遵守《私隱條例》的相關規定。
答:問題2
-
所有機構作為資料使用者,如在香港控制收集、持有、處理或使用(包括披露和轉移)個人資料,均受《私隱條例》的規管,因此必須遵從《私隱條例》規定,包括六項保障資料原則。
-
根據《私隱條例》有關收集個人資料的保障資料第1原則,資料使用者須以切實可行的方法,在收集用戶個人資料時或之前,明確告知資料當事人收集及使用其個人資料的目的,以及該個人資料可能會被轉移給甚麼類別的人士。因此,機構如擬把所收集的個人資料轉移至香港以外地方的人士,在收集資料時,應告知客戶會轉移個人資料給甚麽類別的人士。
-
《私隱條例》保障資料第3原則亦訂明,個人資料只限使用於收集時述明的目的或直接相關的目的,除非得到資料當事人的自願和明確的同意,或者根據情況而資料使用者決定引用《私隱條例》第8部的豁免。
-
因此,機構即使把客戶的個人資料轉移至香港以外地方作處理,而該機構是從香港控制有關資料的處理,仍須確保使用該些資料的目的是與其當初收集該資料的目的一致或直接有關,以符合《私隱條例》的規定。
-
至於預設客戶同意的做法,在《私隱條例》下並無禁止。
-
私隱公署建議客戶在提供其個人資料時,應先仔細閱讀機構所提供的《收集個人資料聲明》,了解其收集資料的目的、資料可能會被轉移給甚麼類別的人士。如有任何疑問,可即時向機構查詢。
-
私隱公署亦提議資料使用者,除了處理個人資料時需要符合《私隱條例》,更佳的做法是採納私隱公署倡議的數據道德價值行事準則,即以尊重、公平和互惠的原則處理個人資料,具透明度和可解釋性,以符合持份者的期望。