個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

调查个案摘要
Print

编号: 0120/2015/IP

标题: 电器订货单上显示顾客完整的信用卡号码

立案原因: 举报

个案简介:

    举报人指在A公司使用信用卡购买电器,发现订货单上显示其完整的信用卡号码,由于订货单是一式多联,接触单据的职员能看到信用卡号码,认为有关做法不当,要求本办公室跟进。

分析:

    根据《个人资料保护法》第4条第1款(一)项及第3条第1款的规定,本案中有关资料的处理受该法规范。
  A公司解释于订货单上记录顾客的信用卡号码是供该公司财务部记录及核对之用,且如遇有虚假信用卡交易时,保存完整的信用卡号码可有助调查。考虑到A公司上述做法是为确保信用卡交易安全,避免因虚假信用卡交易而损害公司的利益,在此情况下持卡人的利益或权利、自由和保障不优于该正当利益,故A公司的做法具备《个人资料保护法》第6条(五)项所指的正当性条件。
  然而,A公司的订货单上已印有单据编号,该公司财务部应可凭单据编号作核对,另外,本案的信用卡签账属实体卡交易,职员有条件即时核实持卡人的身份及信用卡的真伪,即使有需要将持卡人的信用卡号码载于订货单上,仍可省去部分号码,以更好保护个人资料。
  鉴于A公司仅因维护正当利益,在遇到虚假信用卡交易时可将涉嫌违法者的资料转交具权限机构作出追究;其次,订货单是顾客取得产品保养、更换或退还订金等服务的凭据,A公司于订货单上记录顾客的资料同样可保障顾客权益;再者,订货单上仅载有持卡人的信用卡号码,并无记录信用卡上的其他资料,记录有关号码也非牵涉无关目的,加上在本办公室调查期间,该公司已主动作出改善,现时只记录顾客信用卡首4位及尾4位的号码,中间的号码以“*”取代。基此,A公司做法未足以构成违反《个人资料保护法》第5条(三)项适度原则的规定。
  至于举报人忧虑送货的职员可看到订货单上的资料,须指出的是:A公司在收集资料后,有责任按职务内容决定处理顾客资料之职员级别及其可查阅资料的权限范围,此属其内部政策。此外,基于所有在履行职务过程中知悉所处理的个人资料之人士均负有职业保密义务,现时未有资料显示有关程序导致有持卡人的资料外泄,故未见上述做法存有问题。

处理结果:

    A公司已改善相关做法,现时于订货单上仅记录顾客信用卡首尾4位的号码,中间的号码以“*”取代,此个案已归档。

注:
参考《个人资料保护法》第3,4,5,6条。

返回

澳门南湾大马路804号中华广场17楼  电话:(853) 2871 6006  传真:(853) 2871 6116