日期: 2024年1月29日
私隱專員公署發表2023年工作報告及《電子點餐的私隱關注》報告
個人資料私隱專員公署(私隱專員公署)今日發表2023年的工作報告及《電子點餐的私隱關注》報告,私隱專員公署同時發布一份點餐時保障私隱的貼士單張。
-
投訴個案
私隱專員公署在2023年收到的投訴個案為3,582宗,較2022年的3,848宗下跌7%,主要是由於在過往一年處理的「起底」個案大幅減少。近92%的投訴個案涉及投訴私營機構或個別人士(3,284宗);其餘約8%涉及投訴公共機構或政府部門(298宗)。
-
回應查詢
私隱專員公署在2023年接獲15,914宗公眾查詢個案,較2022年的14,929宗增加7%,公署平均每個月處理超過1,300宗查詢個案。在2023年接獲的公眾查詢當中,有關收集及使用個人資料(例如:香港身份證號碼及╱或副本)的事宜佔整體查詢32%,而其他的主要查詢類別包括:公署的處理投訴政策(8%)、《個人資料(私隱)條例》(《私隱條例》)的應用(6%)、處理與僱傭關係相關的個人資料(6%)、查閱及改正個人資料(6%)等。
此外,私隱專員公署於2023年接獲793宗與懷疑誘騙個人資料相關的查詢,較2022年的707宗增加12%。
-
個人資料外洩事故
在2023年,私隱專員公署接獲157宗資料外洩事故通報,當中48宗來自公營機構、109宗來自私營機構,較2022年的105宗大幅增加近五成。這些外洩事故涉及黑客入侵、遺失文件或便攜式裝置、經電郵、郵遞或傳真意外披露個人資料、僱員違規、及系統錯誤設定等。涉及黑客入侵的資料外洩事故由2022年的29宗(佔2022年資料外洩事故的28%),大幅增加逾一倍至2023年的64宗(佔2023年資料外洩事故的41%)。
私隱專員公署於2023年進行了393次循規審查,與2022年的392次循規審查相若。
-
打擊「起底」行為
《私隱條例》下規管「起底」行為的條文於2021年10月8日生效,將「起底」行為刑事化,並賦予個人資料私隱專員(私隱專員)就有關罪行的刑事調查及檢控權,私隱專員亦可就「起底」罪行發出停止披露通知,以停止「起底」訊息的披露。
2023年執法行動
在2023年,私隱專員公署合共處理756宗「起底」個案(包括接獲與「起底」相關的投訴及主動經網上巡查發現的「起底」個案),較2022年的1,764宗大幅減少57%。在上述756宗「起底」個案中,有525宗為公署接獲的「起底」投訴,當中「起底」的原因主要為金錢糾紛(43%),以及家人及感情糾紛(20%)。
私隱專員公署於同期合共向23個網上平台發出了378個停止披露通知,涉及10,682個「起底」訊息,遵從率超過95%。除了移除個別「起底」訊息之外,公署亦成功透過發出停止披露通知移除了117個用作「起底」的頻道。
2023年內,私隱專員公署就140宗個案展開刑事調查,並將31宗案件轉介予警方繼續跟進。公署在2023年合共展開了30次拘捕行動(包括兩次與警方的聯合拘捕行動),共31人被捕。被捕人士將事主「起底」的途徑主要為經社交媒體平台及即時通訊軟件(90%),其餘為張貼單張(7%)及郵件(3%)。
自規管「起底」行為的條文生效至2023年的執法行動總結
由有關條文生效日(即2021年10月8日)至2023年12月31日,私隱專員公署合共處理2,884宗「起底」個案(包括接獲與「起底」相關的投訴及主動經網上巡查發現的「起底」個案),並向41個網上平台發出了1,878個停止披露通知,涉及28,385個「起底」訊息,遵從率超過95%。公署亦成功透過發出停止披露通知移除了192個用作「起底」的頻道。
由有關條文生效日(即2021年10月8日)至2023年12月31日,私隱專員公署就254宗個案展開刑事調查,並將63宗案件轉介予警方繼續跟進。公署合共展開了42次拘捕行動(包括三次與警方的聯合拘捕行動),共43人被捕。
-
《電子點餐的私隱關注》報告及《在餐廳使用手機應用程式及二維碼點餐的保障私隱貼士》單張
越來越多餐廳推行電子點餐,顧客可以透過手機應用程式及二維碼等電子方式於餐廳進行自助點餐。電子點餐無疑為餐廳和顧客帶來了不少便利及好處,然而,私隱專員公署留意到,餐廳在提供電子點餐服務時或會涉及收集顧客的個人資料,引起社會關注。因此,公署於2023年11月至2024年1月派員走訪了60間本地餐廳,實測有關餐廳在提供電子點餐服務時收集及使用顧客個人資料的情況,並於今日發表《電子點餐的私隱關注》報告及《在餐廳使用手機應用程式或二維碼點餐的保障私隱貼士》單張。
根據檢視結果,私隱專員公署對被檢視的餐廳在保障顧客私隱方面的整體觀察如下:
-
全部被檢視的餐廳均有提供非電子點餐方式;
-
四間提供二維碼點餐服務的餐廳收集顧客的個人資料;
-
四間提供手機應用程式點餐的餐廳要求顧客必須註冊帳戶;
-
部分允許以訪客身分於手機應用程式點餐的餐廳仍需顧客提供個人資料;及
-
所有提供手機應用程式點餐服務的餐廳均會進行用戶追蹤及直接促銷。
個人資料私隱專員(私隱專員)鍾麗玲表示:「電子點餐越來越普遍,顧客於餐廳使用手機應用程式或二維碼進行自助點餐時,應仔細考慮是否需要提供個人資料,或下載及選用有關的應用程式。」
私隱專員公署希望藉是次檢視,向市民提供以下保障私隱的建議:
使用手機應用程式點餐
-
應了解應用程式會查閱、收集或分享哪些資料,再決定是否下載及選用有關的應用程式,應透過官方渠道下載應用程式;
-
考慮是否僅為堂食點餐功能而使用應用程式並開立帳戶;
-
以訪客身分點餐時須考慮所需個人資料的類別是否必須,不超乎適度及是否可以在不提供有關資料的情況下仍可點餐;
-
仔細閱讀收集個人資料聲明,了解餐廳收集個人資料的目的及用途;
-
考慮實際需要而決定應用程式的存取權限,及檢查預設保安或私隱設定以設置最高私隱權限;及
-
留意有關的手機應用程式有否提供選項讓顧客選擇是否同意接受直接促銷,並根據自身需要作出相應的選擇。
掃瞄二維碼點餐
-
掃瞄二維碼前要提高警覺,留意二維碼有否被竄改,不要掃瞄一些來歷不明的二維碼;
-
檢查二維碼所導向的網站及第三方點餐平台的真確性;
-
先了解可否在不提供個人資料的情況下完成點餐,或僅提供完成點餐所需的最少量資料;
-
盡量使用在手機內置的功能掃瞄二維碼;及
-
切勿將點餐二維碼上載到社交平台,以免有機會令第三者使用二維碼進行點餐,導致財物損失。
私隱專員公署向飲食業界就利用電子方式點餐提供以下建議:
-
向顧客提供不涉及收集個人資料的點餐方式;
-
提供手機應用程式點餐服務的餐廳應容許顧客以訪客身分點餐,而不收集顧客的個人資料,或按實際所需收集最少量的個人資料;
-
在提供二維碼點餐服務時,應考慮是否需要收集顧客的個人資料。在涉及收集個人資料的情況下,提供收集個人資料聲明以說明收集資料的目的及用途等;
-
如擬使用個人資料作直接促銷,應清晰地告知顧客並就此徵求他們的同意,而有關選項不應預設為同意;
-
如擬使用第三方服務供應商的點餐平台,應確保他們的平台具備足夠的資訊保安措施,以保障任何從顧客收集的個人資料;
-
定期檢查所提供的點餐二維碼有否被惡意竄改;及
-
制訂明確的資料保留政策,定期刪除過時或不必要的顧客資料,以減少資料外洩的風險。
私隱專員鍾麗玲講解2023年工作報告。
私隱專員鍾麗玲(左)及首席個人資料主任(合規及查詢)郭正熙(右)講解2023年工作報告及《電子點餐的私隱關注》報告。
首席個人資料主任(合規及查詢)郭正熙闡述《電子點餐的私隱關注》報告內容。
-完-