日期: 2018年4月18日
私隱專員回應有關香港寛頻一宗懷疑客戶資料庫遭入侵事件
就有關香港寛頻一宗懷疑客戶資料庫遭入侵導致客戶的個人資料可能外洩事件,香港個人資料私隱專員(私隱專員)黃繼兒表示關注並表達以下的意見:
-
公署已收到相關的資料外洩通報,表示該集團發現一宗未經授權接觸其一個已停用客戶資料庫,當中載有的客戶資料包括姓名、電郵地址、通訊地址、電話號碼、身份證號碼及信用卡資料等,有可能導致個人資料外洩。
-
私隱專員注意到事件中受影響的客戶人數眾多,當中亦可能涉及大量敏感的個人資料,事件受傳媒廣泛關注和報道和有關集團已向警方報案。公署已主動就事件展開循規審查。
-
不論公私營機構,作為資料使用者,必須按《個人資料(私隱)條例》(《私隱條例》)規定妥善儲存客戶的個人資料,並採取切實可行的步驟,保障個人資料不會未經授權或意外地被查閱、處理、刪除、喪失或使用,否則便有可能違反條例下的資料保安原則 1。
-
有關機構保留客戶個人資料的期限方面:
-
一般而言,任何機構必須按《私隱條例》的規定妥善保留及刪除客戶的個人資料,其中機構須採取所有切實可行的步驟:
-
確保個人資料的保留時間不得超過達致原來目的的實際所需(保障資料第2(2)原則);及
-
刪除已不再為使用目的而需要保留的個人資料,除非受任何法律禁止或不刪除該資料是符合公眾利益的(《私隱條例》第26條)。
-
《私隱條例》並沒有指明資料使用者保留個人資料的期限。機構應按其業務的實際所需、其收集個人資料的原來目的,以及為符合其他法定要求或公眾利益而決定保存個人資料的期限。一般而言,機構在交易完成後,可保留有關紀錄7年。
-
就個人資料的轉移方面:
-
當機構在結業/終止業務時擬將該機構的客戶資料轉移予另一提供類似服務的公司,機構只有在以下情況才可考慮如此這樣做:
-
機構在收集客戶的個人資料之時已明確告知客戶收集其個人資料的目的及其個人資料可能被轉移予該指定類別的人士;
-
或在轉移客戶的個人資料前已取得客戶自願給予的明示同意 2。
-完-
1 《私隱條例》下的保障資料第4原則 – 資料保安原則
2 《私隱條例》下的保障資料第3原則 – 使用資料原則