個人資料私隱專員公署（「私隱專員公署」）於2023年6月1日發表兩份報告：（一）《調查報告：未經授權查閱TE信貸資料庫的信貸資料》；及（二）《數碼時代的私隱保障：比較十大網購平台的私隱設定》報告。

第一份報告是由個人資料私隱專員（「私隱專員」）在調查一宗投訴後，根據香港法例第486章《個人資料（私隱）條例》（「《私隱條例》」）第48(2)條發表。第二份報告為私隱專員公署隨著網上購物變得越來越普及繼而檢視10個本地消費者常用的網購平台的私隱設定後作出的觀察。

本文將總結以上兩份報告之建議，並考慮其對資料使用者和資料當事人的影響。

《調查報告：未經授權查閱TE信貸資料庫的信貸資料》

該報告源於一宗由一名市民向私隱專員公署作出的投訴，指他在TE信貸資料庫內中的信貸數據被多間財務公司多次查閱，但他從未向這些公司申請任何貸款。投訴人擔心TE信貸資料庫沒有足夠的保安措施保障他的個人資料，以致財務公司能夠在未經他同意的情況下查閱他的信貸資料。TE信貸資料庫由軟媒科技有限公司（「軟媒科技」）營運，截至2022年12月共涉及約18萬名資料當事人的信貸資料，並獲超過500間財務公司使用。

《私隱條例》的保障資料第4(1)原則規定資料使用者須採取所有切實可行的步驟，以確保由其持有的個人資料（包括採用不能切實可行地予以查閱或處理的形式的資料）受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。保障資料第2(2)原則規定資料使用者須採取所有切實可行的步驟，以確保個人資料的保存時間不超過將其保存以貫徹該資料被使用於或會被使用於的目的（包括任何直接有關的目的）所需的時間。經過調查，私隱專員認為軟媒科技違反了保障資料第4(1)原則及第2(2)原則的規定。

特別是，私隱專員發現軟媒科技的個人資料保安措施的不足，包括（一）沒有採取所有切實可行的步驟以確保個人資料不被未獲准許的或意外的查閱、處理或使用；（二）沒有採用強密碼政策和為密碼設定有效期；及（三）逾期保留已全額還款超過五年的借款人的信貸紀錄，不必要地增加了借款人個人資料外洩的風險。

由於軟媒科技違反了保障資料原則，私隱專員已向軟媒科技送達執行通知，並指示其糾正違規行為，防止違規情況再次發生。

私隱專員在報告中進一步指出，鑑於信貸資料的重要性，TE信貸資料庫的營運及管理不受行業守則及金融行業相關法例規管這個情況並不理想。私隱專員建議制定或發布法例、法規、指引、行業守則或發牌制度，以規管和監督此類信貸資料庫。

該報告還載有針對信貸資料庫的其他建議，包括（一）引入「個人資料私隱管理系統」，將個人資料私隱保障納入機構的數據管治責任；（二）委任保障資料主任，負責監察《私隱條例》的遵從及推行個人資料私隱管理系統；（三）聘用獨立循規審核人士，定期就信貸資料機構提供個人信貸資料服務的機制及方法進行循規審核；及（四）對違規行為採取更嚴厲的處罰措施，以阻止貸款公司日後的違規行為。

雖然單單違反保障資料原則不足以構成《私隱條例》所訂明的罪行，但《私隱條例》賦予私隱專員廣泛的視察及調查權力，如本案中私隱專員可向被發現有違反保障資料原則的人送達執行通知。資料使用者違反執行通知即屬犯法，一經定罪可被判處港幣50,000元罰款及監禁2年。

《數碼時代的私隱保障：比較十大網購平台的私隱設定》報告

私隱專員公署檢視了香港10個熱門網購平台的私隱設定，包括Baby Kingdom – BKmall（「BKmall」）、Carousell、eBay、Fortress、HKTVmall、京東、PlayStation App（「PlayStation」）、Price.com.hk香港格價網、Samsung及淘寶，並於2023年6月1日發表報告及《使用網購平台的保障私隱貼士》單張。

私隱專員公署於報告內作出的觀察如下：

• 所有被檢視的網購平台都有擬定私隱政策，並且均在私隱政策中表示會將用戶個人資料轉移至第三方，例如業務合作夥伴、附屬或關聯公司、廣告及促銷合作夥伴、外部服務供應商等；
• 所有被檢視的網購平台都有進行用戶追蹤，涉及的資料包括位置資料、瀏覽紀錄、交易紀錄及裝置資料等；
• 所有被檢視的網購平台（除了BKmall、Price.com.hk及淘寶）都列明最低註冊年齡為18歲，但只有PlayStation和Samsung會透過所收集得的用戶出生日期確認用戶是否年滿18歲，而eBay及HKTVmall只會要求用戶在註冊時確認已年滿18歲；
• BKmall、Carousell、Fortress及Samsung會在用戶註冊時提供是否同意接收廣告訊息或促銷資訊的選項；eBay、HKTVmall、PlayStation及Price.com.hk亦提供有關選項，但選項則預設為同意；淘寶於用戶註冊後在「賬號設置」欄目提供用戶開啟或關閉「個人化推薦」功能；京東在用戶註冊時則未有提供有關選項，亦未能顯示徵求相關同意的訊息；及
• 所有被檢視的網購平台都容許用戶刪除帳戶，而當中Carousell、eBay、京東及Price.com.hk 為用戶提供較明確的刪除帳戶方法。

該報告亦向網購平台營運商提供以下建議：

1. 委任保障資料主任以監察遵從《私隱條例》的情況，並設立個人資料私隱管理系統；
2. 允許用戶以訪客身分購物，並僅向他們收集處理交易所需的個人資料；
3. 提供使用個人資料於直接促銷的選項；
4. 提供安全的付款渠道，例如可信賴的第三方支付平台；
5. 提供清晰易明及全面的私隱政策，以增加私隱政策的易讀性；
6. 確保第三方服務提供者在私隱保障及資訊安全方面的可靠性；
7. 清晰向用戶表達如何追蹤用戶活動及追蹤目的，以提高追蹤用戶活動的透明度；
8. 在設計平台時採用「貫徹私隱設計」及「預設私隱」模式，這包括將所有與私隱有關的選項預設為保障用戶私隱的選項；
9. 提供更多的私隱設置控制選項，包括免登記的登入方式、接收各類訊息的偏好、用戶追蹤及刪除交易或搜索紀錄等；及
10. 提供簡單的刪除帳戶方法。

私營專員呼籲用戶在使用網購平台時要謹慎，並於單張內向用戶提供了如何保護個人私隱的建議。為保障個人資料私隱，用戶宜（一）提供最少量的個人資料；（二）根據自身需要作出有關直接促銷的設定的選擇；（三）使用可信賴的第三方支付平台結賬；（四）閱讀網購平台的私隱政策；（五）調整私隱設定並刪除非必要的追蹤功能；及（六）刪除不再使用的帳戶以避免身分盜竊及減低資料外洩風險。至於安全網購，用戶宜（一）檢查平台的真確性；（二）使用高強度的密碼以及避免使用公眾Wi-Fi進行交易；（三）在點擊前先「停一停、諗一諗」；及（四）在懷疑被騙時立即報警或聯絡私隱專員公署。

值得注意的是，私營專員公署主動檢視了多個網購平台營運商的私隱政策和設置並發表調查結果。此舉提醒各公司及資料使用者對其個人資料私隱管理保持警惕，並確保公司設有符合《私隱條例》下保障資料原則的私隱政策，以免遭受指責。否則，可能會招來負面報導甚或導致投訴和調查。

總結

調查報告提醒資料使用者必須採取一切切實可行步驟，保障個人資料及防止其遭未經授權查閱，保存個人資料的時間亦不得超過其使用目的所需的時間。有關網購平台私隱設置的報告提醒資料使用者對個人資料管理保持警覺，並確保他們有適當的私隱政策，符合《私隱條例》下的保障資料原則。

資料使用者宜檢討其個人資料管理方法，考慮私隱專員公署的建議，並檢討其私隱政策，以確保已制定適當的程序保障他們所收集的個人資料。網站及網購平台用戶可採納私隱專員公署適時及有用的提示，以保護其個人資料及避免被盜用身份及資料外洩。

曾斌和郭慧盈

 

有關香港資料私隱和相關事宜的具體建議，請聯繫:-
曾斌 | pan_tsang@robertsonshk.com | +852 2861 8487