個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

调查个案摘要
Print

编号: 0124/2014/IP

标题: 预订酒店房间需提交身份证明文件副本

立案原因: 举报

个案简介:

    举报人在预订A公司旗下B酒店的房间时,B酒店职员除要求其填写授权书外,亦要求信用卡持卡人提交信用卡副本及身份证明文件或护照副本。举报人认为预订房间需要提交证件副本的做法涉嫌违反《个人资料保护法》的规定,遂要求本办公室跟进。

分析:

    A公司为B酒店的持牌人,其对B酒店的活动(包括该酒店对客户个人资料的处理)具决定权,故A公司为本案的负责实体。
  市民基于订房而向A公司提供其个人资料(包括填写授权书、提交信用卡副本、身份证或护照副本等),该公司是在资料当事人明确同意下处理其个人资料,符合《个人资料保护法》第6条规定的正当性条件。同时,A公司为履行与客人之间的住宿合同而处理相关个人资料,亦符合同一法律第6条(一)项的正当性条件。
  据A公司提供的资料,仅当信用卡持卡人承诺为第三人(即住客)透过信用卡支付或担保费用时,才需填写授权书,并提交信用卡副本以及身份证或护照副本,而要求持卡人提交授权书是用作确定持卡人为第三人支付费用,以及授权酒店从信用卡扣除费用的意愿。
  本办公室认为,如持卡人并非住客,则持卡人在住客入住前预订房间,酒店一般无条件当面要求持卡人出示身份证。由于这涉及履行合同的证明,例如证明受益人的身份,确定订房人(立约人)的身份,故要求在提交授权书时附同订房人(立约人)的身份证副本。当然,这种要求可能有点过当,而且不一定可行,例如当透过网上订房时,只能要求住客证明该房间是为其本人而订。所以这项措施有检讨的空间。
  至于A公司同时要求持卡人提供信用卡副本方面,首先,A公司表示需透过信用卡副本比对授权书上的持卡人签名式样是否一致。另外,据支付卡产业安全标准协会(Payment Card Industry Security Standards Council)制定的“支付卡行业数据安全标准”(Payment Card Industry Data Security Standard),商户在持卡人授权后,可在业务所需或法律规定的时间内以加密方式储存持卡人姓名、帐户号码、有效日期等载于信用卡正面的资料,而处理信用卡验证代码主要用于保护消费者和支付卡都不在交易现场的“无实卡”交易(card-not-present transactions),例如互联网、电邮或电话交易等,确保使用人为真正的持卡人。再者,A公司亦表明B酒店有遵守支付卡产业安全标准协会的标准操作指引以保护信用卡资料,包括在收帐部门确认订房后,会销毁信用卡副本等。基此,A公司为确保信用卡交易安全而同时要求持卡人提供信用卡副本的做法亦未见不妥。
   综上所述,A公司要求持卡人提供信用卡和身份证副本的目的合法、特定、明确及正当,所处理的个人资料亦没有超越其目的,故未见有违反《个人资料保护法》第5条第1款(二)项及(三)项规定的处理原则。

处理结果:

  本办公室已将处理结果函覆A公司和举报人,个案已归档。

注:
参考《个人资料保护法》第5,6条。

返回

澳门南湾大马路804号中华广场17楼  电话:(853) 2871 6006  传真:(853) 2871 6116