2018年4月19日
公署跟進有關香港寛頻一宗懷疑客戶資料庫遭入侵導致客戶的個人資料可能外洩事件
謝謝你的查詢,跟進有關香港寛頻一宗懷疑客戶資料庫遭入侵導致客戶的個人資料可能外洩事件,公署現綜合回覆如下:
-
私隱專員已聯絡香港寛頻,並已就事件展開循規審查。公署會按照《個人資料(私隱)條例》(《私隱條例》)的規定及既定程序跟進事件。
-
一般而言,任何機構必須按《私隱條例》的規定妥善保留及刪除客戶的個人資料,其中機構須採取所有切實可行的步驟:
-
確保個人資料的保留時間不得超過達致原來目的的實際所需(保障資料第2(2)原則);及
-
刪除已不再為使用目的而需要保留的個人資料,除非受任何法律禁止或不刪除該資料是符合公眾利益的(《私隱條例》第26條)。
-
《私隱條例》並沒有指明資料使用者保留個人資料的期限。機構應按其業務的實際所需、其收集個人資料的原來目的,以及為符合其他法定要求[1]或公眾利益而決定保存個人資料的期限。一般而言,機構在交易完成後,可保留有關紀錄7年。
-
截至今日(2018年4月19日),公署接獲與事件相關的查詢共14宗,投訴則有五宗。
[1] 舉例來說:《稅務條例》( 香港法例第 112 章 ) 第 51C 條要求每名在香港經營業務的人,須就其入息及開支備存足夠的紀錄,並須在有關交易完結後,保留該紀錄為期最少 7 年。