新聞公報

立法會二十題:保護消費者個人資料

  以下為今日(十一月二十三日)在立法會會議上劉業強議員的提問和署理政制及內地事務局局長陳岳鵬的書面答覆:
 
問題:
 
  近年,隨着市民使用各類網上支付工具進行網上交易日趨普遍,消費者於進行該等交易時披露的個人資料遭商戶濫用的風險備受關注。消費者委員會早前揭露,有商戶在客戶終止採用其服務後,仍把該等客戶的個人資料保留長達七年甚至永久保留。此外,有一家已結業連鎖式健身中心的臨時清盤人,計劃出售該中心會員的個人資料作直銷用途。就此,政府可否告知本會:
 
(一)過去五年,當局接獲多少宗關於消費者於進行網上交易時,向商戶披露的個人資料遭濫用的投訴,以及當中有多少宗涉及使用跨境支付服務;有何措施遏止非本地商戶濫用香港居民於進行網上交易時披露的個人資料的做法;
 
(二)現時有何機制或法例,限制商戶在結束業務或達到收集個人資料目的實際所需的時間後,仍長期保留客戶的個人資料或濫用該等資料;及
 
(三)會否考慮修改法例,訂明商戶不得保留客戶的個人資料超過(i)某法定期限或(ii)其向客戶表明會保留該等資料的期限?
 
答覆:
 
主席:
 
  就劉議員的提問,經諮詢個人資料私隱專員公署(公署),現綜合答覆如下:
     
  由二○一二年一月一日至二○一六年十月三十一日,公署一共接獲三宗有關濫用消費者於網上交易時提供的個人資料的投訴,惟沒有資料顯示當中是否涉及使用跨境支付服務。
 
  根據《個人資料(私隱)條例》(第486章)(私隱條例)下的保障資料第2(2)原則,資料使用者(例如商戶)須確保個人資料的保留時間不超過達致資料使用目的的實際所需。私隱條例第26(1)條亦規定,凡個人資料不再為有關使用目的所需要,資料使用者須採取所有切實可行的步驟刪除該資料。
 
  此外,保障資料第3原則保障資料當事人(例如消費者)的個人資料不會被用於原本沒有預見的用途。該原則訂明,如無有關資料當事人的訂明同意,個人資料不得用於在收集資料時擬用於的目的或與其直接相關的目的以外的新目的。
 
  私隱條例第6A部進一步規定,若商戶擬把客戶的個人資料提供予第三方作直接促銷之用,須以書面告知資料當事人它有意如此提供資料,並提供訂明資訊(包括擬提供的個人資料的種類、該資料擬提供予甚麼類別的人士等);如個人資料是為得益(例如獲得金錢回報)而轉移的,資料當事人亦須獲書面明確告知。商戶必須取得資料當事人的書面同意方可轉移個人資料予第三方作直接促銷之用。
 
  考慮到不同資料使用者收集、保留及使用個人資料的目的、種類、方法等各有不同,需要的合理保留期限亦有很大差異(註),條例並沒有訂立保留個人資料的劃一法定期限。然而,不論資料使用者有否就保留資料的年期作出聲明,私隱條例的規範都同樣適用。公署會處理有關不當收集、保留或使用個人資料的投訴;如公署有合理理由相信資料使用者有違反私隱條例規定的情況,亦可主動展開循規審查或調查。
 
  非本地商戶若在香港控制個人資料的收集、持有、處理或使用或能夠從香港行使該項控制,即同樣受私隱條例規管。
 
  公署亦一直參與國際私隱執法機構的合作安排,如發現有資料使用者在其他司法管轄區違反當地的私隱規例,會向該司法管轄區的私隱執法機構通報情報及資料,以便其採取措施。
 
註:舉例而言,香港金融管理局發出的《打擊洗錢及恐怖分子資金籌集指引(儲值支付工具持牌人適用)》第8.4段要求儲值支付工具持牌人應在與有關客戶的整個業務關係期間及該業務關係終止後的六年期間內備存其身分證明文件;公署發出的《個人信貸資料實務守則》第3.4A段訂明信貸資料機構可保留無顯示有重要欠帳及無因破產令而撇帳的帳戶的還款資料,直至帳戶結束後五年屆滿為止。


2016年11月23日(星期三)
香港時間15時40分