在未了解有關流動支付服務營運商的服務條款及具體詳情前,公署不會評論個別營運商有否違反《個人資料(私隱)條例》(「條例」)。所有營運商作為條例下的資料使用者,必須遵從條例的規定,包括六項保障資料原則,有關原則規管任何控制收集、持有、處理或使用個人資料的人士(即資料使用者)。
條例第26條及附表1的保障資料第2 (2)原則與這個案至為有關。保障資料第2 (2)原則規定,所有營運商須採取所有切實可行的步驟,以確保個人資料的保存時間不超過將其保存以貫徹該資料被使用於(或會被使用於)的目的所需的時間。條例第26條進一步要求營運商須採取所有切實可行的步驟刪除已不再為使用目的而需要的個人資料,除非受任何法律禁止。不過,條例第26條及保障資料第2 (2)原則並沒有明確規定營運商保留個人資料的期限。因此,營運商可為符合其他法定要求而保存個人資料。例如:《稅務條例》第51C條要求每名在香港經營業務的人,須就其入息及開支備存足夠的紀錄,並須在有關交易完結後,保留該紀錄為期最少7年;另外,香港金融管理局今年9月發出的《打擊洗錢及恐怖分子資金籌集指引(儲值支付工具持牌人適用) 》第8.4段要求儲值支付工具持牌人應在與有關客戶的整個業務關係期間及該業務關係終止後的6年期間內備存其身分證明文件及交易紀錄。
公署已就有營運商永久保留用戶個人資料展開循規審查。
關注到流動支付服務的私隱議題,公署已於今年8月25日發出新聞稿,為電子錢包的用戶及營運商提供保障個人資料的實務建議及小貼士。(該新聞稿可於https://www.pcpd.org.hk/tc_chi/news_events/media_statements/press_20160825.html 下載。)
(如需引述,請寫個人資料私隱專員公署發言人)