日期: 2019年9月25日
公署回應傳媒查詢有關財務公司披露個人資料的事件
謝謝你有關「財務公司披露市民個人資料予第三方」的查詢,現就《個人資料(私隱)條例》(《私隱條例》)下的相關規定作一般性回覆如下:
-
自2014年1月1日至2019年9月17日1 的約5年零9個月的時間內,個人資料私隱專員公署(公署)共接獲250宗資料當事人懷疑其個人資料被財務公司披露予第三方的投訴,當中部分投訴個案涉及市民光顧的財務公司懷疑未經當事人同意,將其個人資料轉交其他財務公司作推廣業務之用。
-
在這250宗個案中,大部分投訴人未能向公署提供足夠資料以支持他們的指稱,例如投訴人未能確切提供向其推廣業務的公司的身份,亦有投訴人其後撤回投訴。
-
有九宗個案涉及資料當事人不滿財務公司將其個人資料披露予追討欠款公司追收欠款2 ,公署向該些個案的被投訴的財務公司發出警告,最終經公署介入後,該些財務公司採取了改善或補救措施,沒有公司被起訴。
-
在部分個案中,財務公司從其他財務公司取得市民的個人資料,未經當事人的同意下使用該些個人資料向他們作直接促銷,亦可能違反了《私隱條例》中有關直接促銷的刑事條文。公署亦有將該些個案轉介警方作刑事調查及考慮作出檢控。
-
公署在上述期間向警方轉介了12宗有關財務公司直接促銷的個案,所有個案警方因證據不足或投訴人撤銷個案而沒有作出與《私隱條例》有關的檢控。
-
一般而言,任何機構作為資料使用者(包括財務公司)收集、持有、處理或使用(包括披露和轉移)顧客的個人資料,均須遵從《私隱條例》的相關規定及條例下的保障資料原則。
-
就收集個人資料方面,財務公司應以合法和公平的方式收集顧客的個人資料,而其目的應直接與其業務有關(如作申請貸款及債務跟進之用),並應在收集顧客個人資料時或之前提供《收集個人資料聲明》,告知他們該財務公司會收集/ 使用/ 處理甚麼資料,以及資料可能會轉移給哪類人士。
-
就使用個人資料方面,財務公司使用顧客個人資料的目的,應只限於收集時述明的目的或直接相關的目的,除非得到資料當事人自願和明確的同意。
-
私隱專員發出《銀行業界妥善處理客戶個人資料指引》,協助業界在收集、持有、處理及使用客戶的個人資料時如何遵從《私隱條例》的規定。
-
巿民(作為資料當事人)要懂得「自保」,在選擇接受財務公司所提供的貸款服務而提供個人資料時,應細閱其私隱政策和收集個人資料聲明,了解財務公司如何收集、使用或處理顧客的個人資料。
-
市民若懷疑個人資料被不恰當地使用,可考慮向涉嫌濫用其個人資料的機構提出交涉;若不滿對方回應,而又能提供表面證據,可以向公署作投訴。公署收到投訴後,會按法例和既定機制跟進。
1 自2014年1月1日至2019年9月17日,公署接獲的投訴個案總數是13,405宗。
2 在行政上訴2009年第21號和2011年第51號該兩案中,行政上訴委員會曾指出,若資料使用者在收集時沒有說明會將當事人的個人資料轉移給追討欠款公司追收欠款,該轉移可被視為新目的,須事前獲取當事人的同意。