新聞稿

個人資料私隱專員公署（私隱專員公署）今日發表兩份報告：（一）《調查報告：未經授權查閱TE信貸資料庫的信貸資料》；及（二）《數碼時代的私隱保障：比較十大網購平台的私隱設定》報告，並就《使用網購平台的保障私隱貼士》出版一份單張。

1. 調查報告：未經授權查閱TE信貸資料庫的信貸資料

在這個案中，私隱專員發現軟媒科技沒有採取適當的保安措施以監察及管理財務公司查閱及使用TE信貸資料庫的情況，導致投訴人的個人資料遭未經授權的查閱、處理或使用，實屬遺憾。再者，軟媒科技並沒有因應相關資料的數量及性質而採用強密碼政策，亦沒有為密碼設定有效期。相關密碼的設置並不符合網絡安全的基本要求，顯示了軟媒科技在個人資料的保安方面明顯不足。此外，軟媒科技現時仍然保留五萬多宗已完成還款超過五年的信貸紀錄，屬不必要的逾期保留，除了漠視《個人資料（私隱）條例》（《私隱條例》）的規定外，亦增加了相關借款人個人資料外洩的風險。

基於上述情況，私隱專員認為軟媒科技未有採取所有切實可行的步驟保障其持有的TE信貸資料庫內的個人資料不受未獲准許的或意外的查閱、處理或使用所影響，違反了《私隱條例》附表1的保障資料第 4(1)原則有關個人資料保安的規定，以及保存個人資料超過所需的時間，違反保障資料第2(2)原則的規定。
 
私隱專員已向軟媒科技發出執行通知，指示軟媒科技糾正其違反事項，以及防止同類違反的行為再發生。
 
個人資料私隱專員鍾麗玲指出：「現時TE信貸資料庫的營運及管理，並不受行業守則及金融行業相關法例規管，情況並不理想。為了保障借款人的個人資料私隱及確保資料庫的數據安全，我建議任何信貸資料庫的營運及管理都應該受到規範或監管，這包括以法例、法規、指引、行業守則或發牌制度去規管。」

私隱專員亦希望藉此報告，向軟媒科技及其他個人信貸資料庫的營運商作出下述建議：
 

• 實施私隱管理系統，將個人資料私隱保障納入機構的數據管治責任；
• 委任保障資料主任，監察《私隱條例》的遵從；
• 聘用獨立循規審核人士，定期就信貸資料機構提供個人信貸資料服務的機制及方法進行循規審核；及
• 增加違規情況的罰則，減少財務公司再次發生違規的情況。

下載《調查報告：未經授權查閱TE信貸資料庫的信貸資料》：
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r23_21242_c.pdf

2.《數碼時代的私隱保障：比較十大網購平台的私隱設定》報告及《使用網購平台的保障私隱貼士》單張

隨着互聯網及網上交易平台發展越趨成熟，網上購物變得越來越普及。在網上購物為消費者帶來各種便利及好處的同時，亦帶來了一些個人資料私隱方面的風險。因此，私隱專員公署檢視了10個本地消費者常用的網購平台（包括有關營運商的網站及應用程式）的私隱設定，包括Baby Kingdom – BKmall（BKmall）、Carousell、eBay、Fortress、HKTVmall、京東、PlayStation App（PlayStation）、Price.com.hk香港格價網、Samsung及淘寶，以了解這些網購平台收集及使用用戶個人資料的情況，並在今日發表《數碼時代的私隱保障：比較十大網購平台的私隱設定》報告及《使用網購平台的保障私隱貼士》單張。

根據檢視結果，私隱專員公署對被檢視的網購平台在保障用戶私隱方面的整體觀察如下：
 

• 所有被檢視的網購平台都有擬定私隱政策，而私隱政策訂明它們收集個人資料的種類由12至23項不等；
• BKmall、eBay、Price.com.hk及Samsung 不需要用戶註冊帳戶亦可進行購物；
• 大部分平台最低註冊年齡為18歲，只有BKmall、Price.com.hk及淘寶沒有列明最低註冊年齡；
• PlayStation及Samsung會透過所收集得的用戶出生日期確認用戶是否年滿18歲，而eBay及HKTVmall會要求用戶在註冊時確認已年滿18歲。Carousell、Fortress及京東並無措施防止18歲以下人士註冊帳戶，這與相關平台所定的最低註冊年齡不符；
• BKmall、Carousell、Fortress及Samsung會在用戶註冊時提供選項，讓用戶選擇是否同意接收廣告訊息或促銷資訊；eBay、HKTVmall、PlayStation及Price.com.hk亦提供有關選項，但選項則預設為同意；淘寶在用戶註冊時未有提供有關選項，但在「賬號設置」欄目提供用戶開啟或關閉「個人化推薦」功能；而京東在用戶註冊時未有提供有關選項，亦未能顯示徵求相關同意的訊息；
• 所有被檢視的平台都有進行用戶追蹤，涉及的資料包括位置資料、瀏覽紀錄、交易紀錄及裝置資料等；
• 所有被檢視的網購平台均在私隱政策中表示會將用戶個人資料轉移至第三方，例如業務合作夥伴、附屬或關聯公司、廣告及促銷合作夥伴、外部服務供應商等；
• 大多數被檢視的網購平台都接受用戶透過第三方支付平台進行付款；
• Carousell、eBay和PlayStation在私隱政策的易讀性方面排名最高；及
• 所有被檢視的網購平台都容許用戶刪除帳戶，而當中Carousell、eBay、京東及Price.com.hk 為用戶提供較明確的刪除帳戶方法。 

私隱專員公署已經將報告送交各網購平台營運商者，並向平台營運商提供以下建議：

1. 委任保障資料主任以監察遵從《私隱條例》的情況，並設立個人資料私隱管理系統；
2. 只收集必須的個人資料：網購平台應允許用戶以訪客身分購物，並僅向他們收集處理交易所需的個人資料；
3. 提供使用個人資料於直接促銷的選項：清晰向用戶表達會使用他們的個人資料向他們提供直接促銷資訊，並就此徵求用戶的同意，而有關選項應避免預設為同意；
4. 提供安全的付款渠道：向用戶提供安全的付款方法或渠道，例如可信賴的第三方支付平台；
5. 提供清晰易明及全面的私隱政策：採用分層式展示或以圖片、短片或其他簡潔易明的方式輔助說明有助增加私隱政策或相關內容的易讀性；
6. 謹慎使用第三方服務：網購平台應確保第三方服務提供者在私隱保障及資訊安全方面的可靠性；
7. 提高追蹤用戶活動的透明度：清晰向用戶表達如何追蹤用戶活動及追蹤的目的，並為用戶提供適當的選項，以讓他們決定是否願意接受此類追蹤；
8. 採用預設私隱：在設計平台時採用「貫徹私隱設計」及「預設私隱」模式，這包括將所有與私隱有關的選項預設為保障用戶私隱的選項；
9. 提供足夠的用戶控制權：為保護用戶的私隱，提供更多的私隱設置控制選項，包括免登記的登入方式、接收各類訊息的偏好、用戶追蹤及刪除紀錄（例如交易或搜索紀錄）等；及
10. 提供方便的刪除帳戶選項：提供簡單的刪除帳戶方法，方便用戶之餘，亦可減少儲存已不再使用平台的用戶的資料。

個人資料私隱專員鍾麗玲表示：「毫無疑問，網上購物為用戶帶來各種好處，並成為很多人日常生活的一部分。然而，網購平台收集及使用用戶的個人資料，亦帶來了一些個人資料私隱的風險。我呼籲用戶提高警覺，精明使用網購平台，以減低對個人資料私隱所帶來的風險。就此，私隱專員公署出版了《使用網購平台的保障私隱貼士》單張，向用戶提供安全網購及保障個人資料私隱的貼士。」
 
私隱專員公署向網購平台的用戶提供以下建議：
 
保障個人資料私隱

• 提供最少量的個人資料：僅提供完成註冊及交易所需的最少量資料，或考慮以訪客身分進行交易；
• 注意有關直接促銷的設定，根據自身需要作出相應的選擇；
• 考慮使用第三方支付平台：使用可信賴的第三方支付平台結賬；
• 閱讀私隱政策，了解平台收集個人資料的目的及使用方式；
• 調整私隱設定：檢查預設的私隱和安全設定，刪除非必要的追蹤功能或索取資料的權限；
• 刪除不再使用的帳戶，避免身分盜竊及減低資料外洩風險；

安全網購

• 檢查平台的真確性，確保網站或應用程式是官方提供的，可先搜尋平台的資料；
• 安全地使用平台：避免使用公眾Wi-Fi進行交易，並使用高強度的密碼；及
• 點擊前先「停一停、諗一諗」，切勿隨便交出個人資料。如有懷疑，可考慮使用「防騙視伏器」（www.cyberdefender.hk）查一查。
• 定期查看網上購物帳戶並報告問題，若懷疑被騙，應立即報警或聯絡私隱專員公署。

下載《數碼時代的私隱保障：比較十大網購平台的私隱設定》報告：
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/pcpd_digitalage_pamphlet.pdf
 
下載《使用網購平台的保障私隱貼士》單張：
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/pcpd_digitalage_leaflet.pdf

 

私隱專員鍾麗玲（中）、高級律師吳穎軒（左）及署理首席個人資料主任（合規及查詢）郭正熙（右）講解未經授權查閱TE信貸資料庫的調查報告及《比較十大網購平台的私隱設定》報告。

－完－