個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

调查个案摘要
Print

编号: 0222/2016/IP

标题: 购物中心未有采取足够的安全措施保护抽奖者的个人资料

立案原因: 举报

个案简介:

    举报人指A公司的购物中心举办抽奖活动,职员会要求参加抽奖的顾客出示身份证明文件正本,并将证件上的个人资料输入电脑内,但电脑屏幕面向排队登记的人群,令他人可看到甚至拍摄到屏幕所显示的个人资料。此外,举报人亦不满职员在收回参加者已签署的书面活动条款后并无向参加者提供副本。

分析:

    据调查所得,A公司使用电脑记录是次抽奖活动参加者的姓名、出生日期、性别、身份证明文件编号、居住地区和联络资料。根据《个人资料保护法》第4条第1款(一)项及第3条第1款的规定,A公司对有关资料的处理须受该法律规范。
  A公司表示参加者是自愿提供个人资料以参加抽奖,因此A公司具有《个人资料保护法》第6条有关资料当事人明确同意的正当性条件。
  由于活动的奖品具有一定价值,A公司指收集参加者上述的个人资料是为了确认领奖者身份、确保活动条款得以遵守(条款包括:整个活动期间参加者只可抽奖一次、未满18岁的人士不得参加抽奖、A公司及所属集团之职员不可参加等)。A公司为着以上目的收集参加者上述提及的个人资料种类是合理的,未有违反《个人资料保护法》第5条第1款(三)项关于适度原则的规定。虽然如此,考虑到身份证明文件编号为独一无二的身份资料,应尽量避免与姓名和出生日期同时使用,故本办公室已去函要求A公司,日后举办同类活动时,应审慎决定所收集的资料种类,尽量收集较少的资料,例如只收集部分的身份证明文件编号。
  根据《个人资料保护法》第10条第1款的规定,资料当事人依法享有资讯权,负责处理资料的实体在向资料当事人收集个人资料时,须向资料当事人提供法定资讯(例如:机构的身份、处理的目的、是否有资料接收者等),当中并无订明负责实体提供资讯的方式,而是要求负责实体确保资料当事人知悉相关资讯。由于A公司的职员让参加者阅读并签署的书面条款内已注明活动举办者的身份、收集的资料种类、处理目的及接收者等资讯,可见,A公司已采取书面方式将资讯告知资料当事人,而资料当事人亦有责任在签署条款前厘清内容,所以A公司即使无提供条款副本,亦不会违反《个人资料保护法》第10条第1款的规定。然而,基于良好行事原则,本办公室认为上述做法仍有优化空间,故已去函建议A公司考虑提供其他途径供参加者事后参阅活动条款(例如将文本上载至网页)。
  另外,就举报人指现场的电脑屏幕面向排队人群,所有人可轻易看到或拍摄屏幕画面一事,A公司指为了让参加者查看职员所输入的资料是否有误,故在现场放置了电脑屏幕,并解释屏幕是面向参加者并非面向公众,而且屏幕贴有保护膜,两旁之人不能看清屏幕的画面,而且等候登记的顾客队伍也与柜枱有所距离,现场有职员维持秩序,不会让队伍太靠近柜枱,所以A公司认为等候队伍并不容易看到电脑屏幕内容。由于举报人没有提供更多的证据,因此现有资料不足以证明参加者的个人资料因A公司安排失当而被其他人知悉。而且A公司为释除客人疑虑,已把电脑屏幕从登记柜枱移除,改以其他方式让参加者确认职员登记的资料。

处理结果:

    本办公室已将处理结果函覆举报人和A公司,并建议A公司收集资料种类要适度,以及增加途径让参加者参阅活动条款等。个案已归档。

注:
参考《个人资料保护法》第3,4,5,6,10条。

返回

澳门南湾大马路804号中华广场17楼  电话:(853) 2871 6006  传真:(853) 2871 6116