日期: 2018年5月11日
公署回應有關港鐵就高鐵票務系統採用實名制購票事宜
謝謝你的查詢,有關港鐵就高鐵票務系統採用實名制購票事宜,公署現綜合回覆如下:
-
港鐡曾於今年2月就高鐵香港段採用實名制票務系統所作的私隱評估影響報告聯絡公署,而公署亦就相關的範疇提供一般性意見及指引資料,以助港鐡在採用相關票務系統時能遵從《個人資料(私隱)條例》(《私隱條例》)的規定。
-
一般而言,任何在香港控制收集、持有、處理或使用(包括披露和轉移)個人資料的機構(即資料使用者),必須遵從《私隱條例》的規定,包括六項保障資料原則。如機構欲轉移客戶的個人資料至香港以外地區,雖然《私隱條例》當中規管該活動的第33條尚未實施,但轉移個人資料至香港境外仍受《私隱條例》下的相關保障資料原則所保障,其中:
-
機構在收集資料時通知資料當事人資料承轉人的類別。(保障資料第1(3)原則)
-
機構把個人資料轉移至另一司法管轄區的目的,必須符合原初收集資料的目的。(保障資料第3原則)
此外,如在轉移個人資料後,機構仍保留對資料的控制,則《私隱條例》的所有條文繼續適用於有關資料。
-
私隱專員已建議港鐵參考公署所刊發的《保障個人資料:跨境資料轉移指引》(《指引》),採取適當措施以保障個人資料,以盡企業管治責任,同時為第33條的實施作好準備,其中:
-
第33(2)(c)條訂明,若資料當事人以書面同意該項轉移,又或該資料憑藉《私隱條例》第8部下的豁免而不受保障資料第3原則所管限,方可將資料轉移至香港以外的地方。
-
作為良好的行事方式,資料使用者在將個人資料轉移至香港以外之前,應採取有效辦法(例如合約規範或協議),以確保個人資料在境外仍獲得等同《私隱條例》所提供的保障(「克盡職責的規定」)[1]。
《指引》中附有一套資料轉移的範本條文,協助資料使用者就跨境轉移資料制訂有效合約或協議,以符合克盡職責的規定。該範本條文列出資料承轉人在個人資料保留及刪除方面的義務,其中包括:
-
保留個人資料的時間不得超過履行資料使用的目的所需的時間;
-
須在收到轉移人所發出的指示後,立即刪除個人資料;
-
特別承諾採取符合《私隱條例》的規定的措施以刪除個人資料。
-
《私隱條例》並沒有指明資料使用者或資料承轉人保留個人資料的期限。機構應按其業務的實際所需、其收集個人資料的原來目的,以及為符合其他法定要求[2]或公眾利益而決定保存個人資料的期限。
-
資料使用者應對資料承轉人的日常運作作出定期的審核及視察,以確保它們遵從資料轉移協議內所列的責任。
(如需引述,請寫香港個人資料私隱專員黃繼兒)
[2] 舉例來說:《稅務條例》( 香港法例第 112 章 ) 第 51C 條要求每名在香港經營業務的人,須就其入息及開支備存足夠的紀錄,並須在有關交易完結後,保留該紀錄為期最少 7 年。