日期: 2017年12月5日
公署回應有關電子支付與私隱保障事宜
謝謝你的查詢,有關電子支付與私隱保障事宜,公署現就
個人資料私隱範疇綜合回覆如下:
· 《個人資料(私隱)條例》(「條例」)提供清晰的條文要求,讓電子支付系統/電子錢包供應商能妥善收集及使用客戶個人資料的同時,亦能尊重客戶的個人資料私隱權。一般而言,任何電子支付系統/電子錢包供應商(作為資料使用者)在香港控制收集、持有、處理或使用(包括披露和轉移)客戶的個人資料時,均須遵守條例下的規定,包括六項保障資料原則,其中在收集及使用個人資料方面:
-
電子支付系統/電子錢包供應商須以合法和公平的方式收集客戶的個人資料,而其目的應直接與其服務有關(如繳費、零售付款等),並應在收集客戶個人資料時或之前提供《收集個人資料聲明》,告知他們會收集/使用/處理甚麼資料與其用途,以及資料可能會轉移給哪類人士[1]。其中《收集個人資料聲明》中就可能轉移/披露資料的內容上應具體描述,並避免使用寬鬆廣泛及籠統的字眼(如避免如此陳述:「你同意我們將你的個人資料披露及轉移予本集團內的任何公司、各附屬公司及任何本集團擁有權益的公司」),讓客戶能夠合理地確定上述相關資訊。如聲明過於含糊不清,電子支付系統/電子錢包供應商可能會被視作對收集/使用及查閱資料的目的有所隱瞞,而構成以不公平方式收集個人資料。
-
條例並沒有禁止電子支付系統/電子錢包供應商轉移或披露客戶的個人資料予其他持份者,但供應商披露或轉移資料的目的,必須與所提供的電子支付/電子錢包服務相關,否則必須事先獲得有關客戶自願給予的明示同意[2]。在決定有關同意是否屬自願,公署會考慮一系列因素,包括有關同意是否屬「捆綁式同意」,即客戶在拒絕給予同意後是否不獲提供有關服務,與及客戶是否已獲提供足夠資料讓其作出相關決定。
-
不論是轉移資料者或承轉人,若擬使用或提供客戶的個人資料作直接促銷,必須告知客戶其擬如此使用或提供其資料,與及提供條例下的訂明資訊[3];在首次使用客戶的個人資料在直接促銷時,亦須告知客戶,他/她有權要求在不向其收費的情況下,停止如此使用有關資料;並且除非獲得客戶的同意(如屬提供個人資料,同意必須以書面作出),否則不能使用或提供有關資料作直接促銷[4]。
· 在目前的大數據經濟下,個人資料可能被大量收集、轉移及分析,以推測個別人士的生活習慣、喜好、信貸評分等。雖然有關分析可能有助提升個人獲得的產品及服務質素,但亦可能會對個人私隱構成侵害。巿民(作為電子支付系統/電子錢包的用家)要懂得「自保」,在選擇下載或使用任何電子支付系統/電子錢包,又或透過相關供應商所提供的應用程式或網站平台提供個人資料時,應注意以下事項:
-
查明其私隱政策和收集個人資料聲明,了解電子支付系統/電子錢包供應商如何查閱、上載、分享或處理收集所得的個人資料,衡量資料的收集是否有需要抑或是超乎適度,以及有關資料的使用、分享及處理對私隱可能構成的侵害與其帶來的便利是否合符比例,再決定是否提供你的個人資料及安裝;
-
了解電子支付系統/電子錢包的應用程式/網站平台的私隱設定,揀選合適的選項;
-
檢視相關程式網站平台可以查閱甚麼資料,並在有需要時關閉查閱功能;
-
切勿在公共Wi-Fi或不安全的Wi-Fi連接下操作電子支付系統/電子錢包;
-
在可行的情況下,核實及檢查QR碼有沒有被篡改,並且不要在QR碼帶你到訪的網站上輸入個人或財務等敏感資料
-
設定複雜的密碼,亦不要將同一密碼用於其他敏感性較低的服務;
-
確保用來操作電子支付系統/電子錢包的智能裝置已啟動適當的防盜功能,並安裝最新的保安修補程式及防病毒軟件;
-
切勿開啟來歷不明的電郵附件或點擊可疑的連結;及
-
定期監察電子支付系統/電子錢包的交易記錄,留意是否有未獲授權的活動。
· 而電子支付系統/電子錢包供應商則應注意以下事項:
-
留意條例下的恰當性及透明度的要求,並利用精簡的文字及淺顯易明的表達方式向客戶清楚解釋要求提供各項個人資料的目的。
-
若擬將從電子支付系統/電子錢包操作時收集所得的個人資料使用於與支付無關的目的,應先審慎考慮客戶的合理私隱期望,並取得有關客戶明確及自願的同意;若打算將個人資料用於直銷活動,便須遵從條例下有關直銷的規定,採取指明的行動以取得客戶的同意;
-
留意其法律責任,確保所收集的個人資料的準確性及做好保安措施。由於電子支付系統/電子錢包所涉及的個人資料較敏感,供應商應為整個資料處理周期進行正式的風險評估,以決定所需的保安程度;
-
依從條例下客戶所作出的查閱資料及改正資料要求;及
-
若外判個人資料處理工作予代理人(即資料處理者),須採取合約規範或其他方法,以 (i)防止轉移予該資料處理者的個人資料的保存時間超過處理該資料所需的時間,及 (ii)防止轉移予該資料處理者作處理的個人資料未獲准許或意外地被查閱、處理、刪除、喪失或使用。
更多有關保障個人資料私隱的指引及貼士,可瀏覽公署網站:
PCPD.org.hk。
· 由2015年1月1日至2017年11月30日,公署曾接獲九宗涉及電子支付系統/電子錢包的投訴個案,投訴性質主要與網上支付系統要求使用者提供身份證明文件以核實身份有關。
(如需引述,請寫私隱專員黃繼兒)
[1] 條例下保障資料第1原則:收集資料原則
[2] 條例下保障資料第3原則:使用資料原則
[3] 條例第35C(2)訂明,資料使用者將個人資料用於直接促銷前,須向資料當事人提供的訂明資訊包括: (a) 該資料使用者擬在直接促銷中使用該資料當事人的個人資料;(b) 除非該資料使用者收到資料當事人對擬進行的使用的同意,否則不得如此使用該資料;(c) 擬使用的個人資料的種類;(d) 該資料擬就甚麼類別的促銷標的而使用;及(e) 提供一個回應途徑,讓該資料當事人可在無需向該資料使用者繳費的情況下,通過該途徑傳達該資料當事人對上述的擬進行的使用的同意。