个人资料私隐专员公署（「私隐专员公署」）于2023年6月1日发表两份报告：（一）《调查报告：未经授权查阅TE信贷资料库的信贷资料》；及（二）《数码时代的私隐保障：比较十大网购平台的私隐设定》报告。

第一份报告是由个人资料私隐专员（「私隐专员」）在调查一宗投诉后，根据香港法例第486章《个人资料（私隐）条例》（「《私隐条例》」）第48(2)条发表。第二份报告为私隐专员公署随着网上购物变得越来越普及继而检视10个本地消费者常用的网购平台的私隐设定后作出的观察。

本文将总结以上两份报告之建议，并考虑其对资料使用者和资料当事人的影响。

《调查报告：未经授权查阅TE信贷资料库的信贷资料》

该报告源于一宗由一名市民向私隐专员公署作出的投诉，指他在TE信贷资料库内中的信贷数据被多间财务公司多次查阅，但他从未向这些公司申请任何贷款。投诉人担心TE信贷资料库没有足够的保安措施保障他的个人资料，以致财务公司能够在未经他同意的情况下查阅他的信贷资料。TE信贷资料库由软媒科技有限公司（「软媒科技」）营运，截至2022年12月共涉及约18万名资料当事人的信贷资料，并获超过500间财务公司使用。

《私隐条例》的保障资料第4(1)原则规定资料使用者须采取所有切实可行的步骤，以确保由其持有的个人资料（包括采用不能切实可行地予以查阅或处理的形式的资料）受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响。保障资料第2(2)原则规定资料使用者须采取所有切实可行的步骤，以确保个人资料的保存时间不超过将其保存以贯彻该资料被使用于或会被使用于的目的（包括任何直接有关的目的）所需的时间。经过调查，私隐专员认为软媒科技违反了保障资料第4(1)原则及第2(2)原则的规定。

特别是，私隐专员发现软媒科技的个人资料保安措施的不足，包括（一）没有采取所有切实可行的步骤以确保个人资料不被未获准许的或意外的查阅、处理或使用；（二）没有采用强密码政策和为密码设定有效期；及（三）逾期保留已全额还款超过五年的借款人的信贷纪录，不必要地增加了借款人个人资料外泄的风险。

由于软媒科技违反了保障资料原则，私隐专员已向软媒科技送达执行通知，并指示其纠正违规行为，防止违规情况再次发生。

私隐专员在报告中进一步指出，鉴于信贷资料的重要性，TE信贷资料库的营运及管理不受行业守则及金融行业相关法例规管这个情况并不理想。私隐专员建议制定或发布法例、法规、指引、行业守则或发牌制度，以规管和监督此类信贷资料库。

该报告还载有针对信贷资料库的其他建议，包括（一）引入「个人资料私隐管理系统」，将个人资料私隐保障纳入机构的数据管治责任；（二）委任保障资料主任，负责监察《私隐条例》的遵从及推行个人资料私隐管理系统；（三）聘用独立循规审核人士，定期就信贷资料机构提供个人信贷资料服务的机制及方法进行循规审核；及（四）对违规行为采取更严厉的处罚措施，以阻止贷款公司日后的违规行为。

虽然单单违反保障资料原则不足以构成《私隐条例》所订明的罪行，但《私隐条例》赋予私隐专员广泛的视察及调查权力，如本案中私隐专员可向被发现有违反保障资料原则的人送达执行通知。资料使用者违反执行通知即属犯法，一经定罪可被判处港币50,000元罚款及监禁2年。

《数码时代的私隐保障：比较十大网购平台的私隐设定》报告

私隐专员公署检视了香港10个热门网购平台的私隐设定，包括Baby Kingdom – BKmall（「BKmall」）、Carousell、eBay、Fortress、HKTVmall、京东、PlayStation App（「PlayStation」）、Price.com.hk香港格价网、Samsung及淘宝，并于2023年6月1日发表报告及《使用网购平台的保障私隐贴士》单张。

私隐专员公署于报告内作出的观察如下：

• 所有被检视的网购平台都有拟定私隐政策，并且均在私隐政策中表示会将用户个人资料转移至第三方，例如业务合作伙伴、附属或关联公司、广告及促销合作伙伴、外部服务供应商等；
• 所有被检视的网购平台都有进行用户追踪，涉及的资料包括位置资料、浏览纪录、交易纪录及装置资料等；
• 所有被检视的网购平台（除了BKmall、Price.com.hk及淘宝）都列明最低注册年龄为18岁，但只有PlayStation和Samsung会透过所收集得的用户出生日期确认用户是否年满18岁，而eBay及HKTVmall只会要求用户在注册时确认已年满18岁；
• BKmall、Carousell、Fortress及Samsung会在用户注册时提供是否同意接收广告讯息或促销资讯的选项；eBay、HKTVmall、PlayStation及Price.com.hk亦提供有关选项，但选项则预设为同意；淘宝于用户注册后在「账号设置」栏目提供用户开启或关闭「个人化推荐」功能；京东在用户注册时则未有提供有关选项，亦未能显示征求相关同意的讯息；及
• 所有被检视的网购平台都容许用户删除帐户，而当中Carousell、eBay、京东及Price.com.hk 为用户提供较明确的删除帐户方法。

该报告亦向网购平台营运商提供以下建议：

1. 委任保障资料主任以监察遵从《私隐条例》的情况，并设立个人资料私隐管理系统；
2. 允许用户以访客身分购物，并仅向他们收集处理交易所需的个人资料；
3. 提供使用个人资料于直接促销的选项；
4. 提供安全的付款渠道，例如可信赖的第三方支付平台；
5. 提供清晰易明及全面的私隐政策，以增加私隐政策的易读性；
6. 确保第三方服务提供者在私隐保障及资讯安全方面的可靠性；
7. 清晰向用户表达如何追踪用户活动及追踪目的，以提高追踪用户活动的透明度；
8. 在设计平台时采用「贯彻私隐设计」及「预设私隐」模式，这包括将所有与私隐有关的选项预设为保障用户私隐的选项；
9. 提供更多的私隐设置控制选项，包括免登记的登入方式、接收各类讯息的偏好、用户追踪及删除交易或搜索纪录等；及
10. 提供简单的删除帐户方法。

私营专员呼吁用户在使用网购平台时要谨慎，并于单张内向用户提供了如何保护个人私隐的建议。为保障个人资料私隐，用户宜（一）提供最少量的个人资料；（二）根据自身需要作出有关直接促销的设定的选择；（三）使用可信赖的第三方支付平台结账；（四）阅读网购平台的私隐政策；（五）调整私隐设定并删除非必要的追踪功能；及（六）删除不再使用的帐户以避免身分盗窃及减低资料外泄风险。至于安全网购，用户宜（一）检查平台的真确性；（二）使用高强度的密码以及避免使用公众Wi-Fi进行交易；（三）在点击前先「停一停、谂一谂」；及（四）在怀疑被骗时立即报警或联络私隐专员公署。

值得注意的是，私营专员公署主动检视了多个网购平台营运商的私隐政策和设置并发表调查结果。此举提醒各公司及资料使用者对其个人资料私隐管理保持警惕，并确保公司设有符合《私隐条例》下保障资料原则的私隐政策，以免遭受指责。否则，可能会招来负面报导甚或导致投诉和调查。

总结

调查报告提醒资料使用者必须采取一切切实可行步骤，保障个人资料及防止其遭未经授权查阅，保存个人资料的时间亦不得超过其使用目的所需的时间。有关网购平台私隐设置的报告提醒资料使用者对个人资料管理保持警觉，并确保他们有适当的私隐政策，符合《私隐条例》下的保障资料原则。

资料使用者宜检讨其个人资料管理方法，考虑私隐专员公署的建议，并检讨其私隐政策，以确保已制定适当的程序保障他们所收集的个人资料。网站及网购平台用户可采纳私隐专员公署适时及有用的提示，以保护其个人资料及避免被盗用身份及资料外泄。

曾斌和郭慧盈

 

有关香港资料私隐和相关事宜的具体建议，请联系:-
曾斌 | pan_tsang@robertsonshk.com | +852 2861 8487