日期: 2018年3月20日
公署回應有關銀行使用及保障客戶個人資料事宜
謝謝你的查詢,有關銀行保障客戶個人資料的事宜,公署現綜合回覆如下:
-
就近日有傳媒報道指有銀行未有妥善保障客戶的個人資料,可能導致資料未經授權而被查閱或使用,私隱專員關注事件,尤其當中可能涉及大量敏感的個人資料(如財務紀錄及交易資料等),已主動就事件展開循規審查。
-
由2015年1月1日至今(3月20日),公署接獲與銀行及財務機構相關的投訴當中,有308宗與個人資料在未經同意的情況下被使用或披露有關,另有197宗與資料的保安不足有關。
-
任何人士如懷疑其個人資料私隱受到侵犯,而又能提供表面證據,可以向公署作投訴。公署在收到投訴後會接觸投訴人及被投訴者,就個案作出跟進,因應個案情況決定是否進行調查,以確定被投訴者是否有違反條例的規定。若涉及刑事罪行,公署亦可能會將個案轉介予警方以作刑事調查及考慮檢控。
-
銀行在日常營運中需要處理大量客戶的個人資料,包括財務及信貸等敏感資料,因此應確保其資料私隱政策及實務依從《個人資料(私隱)條例》(《私隱條例》)及相關的保障資料原則,其中:
-
就個人資料的使用方面,除非已取得客戶的訂明同意,銀行使用(包括披露或轉移)客戶的個人資料應限於收集資料的目的或直接有關的目的[1],包括向客戶提供銀行服務。
-
而就個人資料保安方面,銀行須採取所有切實可行的步驟,例如訂立查閱不同資料的權限,確保其持有的客戶個人資料受保障而不受未獲准許的或意外的查閱或使用[2]。
-
若擬將客戶的個人資料用於直接促銷(「直銷」)用途,便須遵從《私隱條例》下第6A部有關直銷的規定,採取指明的行動以取得客戶的同意;此外,銀行在首次使用客戶的個人資料作直銷時,仍須告知該客戶他有權要求銀行在不向其收費的情況下,停止在直銷中使用有關資料。
-
若擬將客戶的個人資料轉售或分享予直銷用途,則除非銀行已採取指明的行動以通知客戶有關用途並取得其書面同意,否則亦有可能違反《私隱條例》下相關的直銷規定。詳情可參閱私隱專員刊發的《直接促銷新指引》。
-
根據《私隱條例》第65(1)條,僱員在其受僱用中所作出的任何作為或所從事的任何行為,須視為亦是由其僱主所作出或從事的。因此,銀行須為其職員在向客戶提供服務期間所作出的作為或所從事的行為負責。如銀行能證明已採取切實可行的步驟,防止其職員作出或從事任何違反行為,可以此為免責辯護。私隱專員刊發的《銀行業界妥善處理客戶個人資料指引》,列出一系列預防措施,包括:
-
定期及有系統地傳遞有關政策予職員;
-
持續向職員提供保障個人資料的培訓;
-
向新入職職員提供保障個人資料的培訓以作為入職指導的一部分;
-
定期檢討及更新有關政策規程、培訓教材及手冊;
-
對個人資料的查閱及處理,採取只限於「有需要知道」及「有需要使用」的原則;
-
規定職員簽署保密聲明,該聲明清楚述明銀行在這些方面的工作期望及違規可能受到的處分,或將該聲明納入職員手冊或行為守則中;
-
如發生違規事件,應進行適當的調查程序,並對違規職員採取適當的行動;
-
制定適當的系統監控及進行定期內部稽核和隨機抽查,以確保職員遵從既定的政策及程序。
-
此外,根據《私隱條例》第64條,任何人披露未經資料使用者(如銀行)同意而取自該資料使用者的某資料當事人(如客戶)的任何個人資料,而該項披露是出於以下意圖的,該人即屬犯罪:
(a) 獲取金錢得益或其他財產得益,不論是為了令自己或另一人受惠而獲取;或
(b) 導致該當事人蒙受金錢損失或其他財產損失;
又或在未經資料使用者同意下,如任何人披露取自該資料使用者的某資料當事人的任何個人資料,而該項披露導致該資料當事人蒙受心理傷害,不論其意圖如何,亦屬犯罪。最高刑罰是罰款一百萬元和監禁五年。詳情可參閱私隱專員刊發的《
披露未經資料使用者同意而取得的個人資料的罪行》資料單張。
(如需引述,請寫香港個人資料私隱專員黃繼兒)
[1] 《私隱條例》下保障資料第3(1)原則 ─ 個人資料的使用
[2] 《私隱條例》下保障資料第4原則 ─ 個人資料的保安