2018年4月13日
公署回應有關電子支付工具對個人資料私隱保障的事宜
謝謝你的查詢,有關電子支付工具對個人資料私隱保障的事宜,公署現綜合回覆如下:
-
由2015年1月1日至2017年12月31日,公署曾接獲15宗涉及電子支付系統/電子錢包的投訴個案,投訴性質主要與網上支付系統要求使用者提供身份證明文件以核實身份有關。
-
一般而言,任何商戶以至電子支付系統/電子錢包供應商(作為資料使用者)必須按《個人資料(私隱)條例》(《私隱條例》)的規定妥善保留及刪除顧客/用家的個人資料,其中商戶以至電子支付系統/電子錢包供應商須採取所有切實可行的步驟:
-
確保個人資料的保留時間不得超過達致原來目的的實際所需(保障資料第2(2)原則);及
-
刪除已不再為使用目的而需要保留的個人資料,除非受任何法律禁止或不刪除該資料是符合公眾利益的(《私隱條例》第26條)。
《私隱條例》並沒有指明資料使用者保留個人資料的期限。
商戶以至電子支付系統/電子錢包供應商應按其業務的實際所需、其收集個人資料的原來目的,以及為符合其他法定要求[1]或公眾利益而決定保存個人資料的期限。(如:商戶於優惠期內提供額外折扣予多次購買某類貨品的客戶,因而需要在該段時間內保留顧客相關的購物紀錄及資料。在優惠期完結後,商戶應盡快刪除顧客相關的購物紀錄及其他個人資料。)
-
在目前的大數據經濟下,個人資料可能被大量收集、轉移及分析,以推測個別人士的生活習慣、喜好、信貸評分等。雖然有關分析可能有助提升個人獲得的產品及服務質素,但亦可能會對個人私隱構成侵害。巿民(作為電子支付系統/電子錢包的用家)要懂得「自保」,在選擇下載或使用任何電子支付系統/電子錢包,又或透過相關供應商所提供的應用程式或網站平台提供個人資料時,應注意以下事項:
-
查明其私隱政策和收集個人資料聲明,了解電子支付系統/電子錢包供應商如何查閱、上載、分享或處理收集所得的個人資料,衡量資料的收集是否有需要抑或是超乎適度,以及有關資料的使用、分享及處理對私隱可能構成的侵害與其帶來的便利是否合符比例,再決定是否提供你的個人資料及安裝;
-
了解電子支付系統/電子錢包的應用程式/網站平台的私隱設定,揀選合適的選項;
-
檢視相關程式網站平台可以查閱甚麼資料,並在有需要時關閉查閱功能;
-
切勿在公共Wi-Fi或不安全的Wi-Fi連接下操作電子支付系統/電子錢包;
-
在可行的情況下,核實及檢查QR碼有沒有被篡改,並且不要在QR碼帶你到訪的網站上輸入個人或財務等敏感資料
-
設定複雜的密碼,亦不要將同一密碼用於其他敏感性較低的服務;
-
確保用來操作電子支付系統/電子錢包的智能裝置已啟動適當的防盜功能,並安裝最新的保安修補程式及防病毒軟件;
-
切勿開啟來歷不明的電郵附件或點擊可疑的連結;及
-
定期監察電子支付系統/電子錢包的交易記錄,留意是否有未獲授權的活動。
[1] 舉例來說:《稅務條例》( 香港法例第 112 章 ) 第 51C 條要求每名在香港經營業務的人,須就其入息及開支備存足夠的紀錄,並須在有關交易完結後,保留該紀錄為期最少 7 年。