日期: 2018年3月27日
公署回應有關流傳有銀行透過更新系統將香港客戶資料轉移至香港以外地方的事宜
謝謝你的查詢,有關流傳有銀行透過更新系統將香港客戶資料轉移至香港以外地方的事宜,公署現綜合回覆如下:
-
就近日有傳媒報道網上傳聞提到有銀行即將進行的一項系統提升是擬將香港客戶資料整合並互通至香港以外地方的事宜,私隱專員知悉事件,亦留意到相關銀行於本月26日所發出的新聞稿中提及嚴格遵守資訊安全相關的法規以妥善處理客戶的個人資料。私隱專員會密切留意最新情況及其對個人資料私隱的影響。
-
一般而言,銀行(作為資料使用者)在香港控制收集、持有、處理或使用(包括披露和轉移)客戶的個人資料時,都須遵從《個人資料(私隱)條例》(《私隱條例》)下的規定及其六項保障資料原則。如銀行欲轉移客戶的個人資料至香港以外地區,雖然現時《私隱條例》第33條尚未實施,但轉移個人資料至香港境外仍受《私隱條例》下的相關保障資料原則所保障,其中:
-
銀行在收集資料時通知客戶資料承轉人的類別(保障資料第1(3)原則);
-
銀行聘用資料處理者在香港或香港以外代為處理客戶的個人資料,必須以合約或其他方法規範,以防止資料轉交給資料處理者後其保留的時間長於實際所需(保障資料第2(3)原則);
-
除非已獲得客戶同意,銀行把客戶的個人資料轉移至另一司法管轄區的目的,必須符合原初收集資料的目的(保障資料第3原則);及
-
銀行必須採取合約或其他規範方式,以防止有關的個人資料經資料處理者而在未獲其准許的情況下或意外地被查閱﹑處理﹑刪除﹑喪失或使用(保障資料第4(2)條)。
另一方面,如資料使用者轉移資料予香港境外的外判代理進行處理,該資料使用者仍須就其代理不當處理個人資料的所有作為負上《私隱條例》下的法律責任。
-
鑑於銀行在日常營運中需要處理大量客戶的個人資料,因此私隱專員刊發了《銀行業界妥善處理客戶個人資料指引》,向銀行就保障個人資料方面提供以下建議及良好行事方式,當中包括:
-
在收集資料時告知客戶轉移資料事宜
如銀行擬把所收集的個人資料轉移至香港以外地方,在收集資料時,銀行應告知客戶資料承轉人的類別。此外,良好的行事方式亦包括告知客戶將轉移至香港以外的資料種類、轉移的目的,及資料被轉移至的地方(如銀行認為適合)。如銀行沒有轉移資料的意圖,亦可告知客戶。
-
不將資料用於新目的及不轉移不準確的資料
除非已獲得客戶同意,轉移客戶個人資料必須符合資料原本的收集目的或直接有關的目的。
如有合理理由相信有關資料是不準確,除非及直至資料已被更正,否則不應轉移有關資料。
-
保障資料所採取的步驟
在傳輸客戶資料時,銀行必須採取保安措施保障資料不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。如資料是經互聯網傳送,銀行需要特別小心,確保設有足夠的保安措施,例如將資料加密。在這方面,銀行可參考《經互聯網收集及使用個人資料:給資料使用者的指引》中「保障資料第4原則-個人資料的保安」一節。
如銀行轉移個人資料予資料處理者代其處理,該銀行須採取合約規範或其他方法保障資料的安全。
如資料是轉移至銀行集團內的一間公司作某用途,該銀行應確保在達致轉移目的後適時要求該公司徹底地刪除有關資料。
如資料是轉移予資料處理者代銀行處理資料,該銀行須採取合約規範或其他方法防止有關資料被資料處理者保留超過所需的時間。
至於銀行可採取甚麼合約規範或其他方法以確保轉移予資料處理者的資料安全及獲得妥善處置,可參考《
外判個人資料的處理予資料處理者》資料單張。
-
在跨境資料私隱執法方面,私隱專員與其他國家及地區的私隱執法機關一直保持緊密聯繫和合作,互相分享資訊及提供協助,因此若發現有相關的違反《私隱條例》規定的情況,私隱專員會考慮聯絡相關地區的私隱執法機構以作跟進。
-
任何人士如懷疑其個人資料私隱受到侵犯,而又能提供表面證據,可以向公署作投訴。公署在收到投訴後會接觸投訴人及被投訴者,就個案作出跟進,因應個案情況決定是否進行調查,以確定被投訴者是否有違反《私隱條例》的規定。
(如需引述,請寫香港個人資料私隱專員黃繼兒)