個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0222/2016/IP

標題: 購物中心未有採取足夠的安全措施保護抽獎者的個人資料

立案原因: 舉報

個案簡介:

    舉報人指A公司的購物中心舉辦抽獎活動,職員會要求參加抽獎的顧客出示身份證明文件正本,並將證件上的個人資料輸入電腦內,但電腦屏幕面向排隊登記的人群,令他人可看到甚至拍攝到屏幕所顯示的個人資料。此外,舉報人亦不滿職員在收回參加者已簽署的書面活動條款後並無向參加者提供副本。

分析:

    據調查所得,A公司使用電腦記錄是次抽獎活動參加者的姓名、出生日期、性別、身份證明文件編號、居住地區和聯絡資料。根據《個人資料保護法》第4條第1款(一)項及第3條第1款的規定,A公司對有關資料的處理須受該法律規範。
  A公司表示參加者是自願提供個人資料以參加抽獎,因此A公司具有《個人資料保護法》第6條有關資料當事人明確同意的正當性條件。
  由於活動的獎品具有一定價值,A公司指收集參加者上述的個人資料是為了確認領獎者身份、確保活動條款得以遵守(條款包括:整個活動期間參加者只可抽獎一次、未滿18歲的人士不得參加抽獎、A公司及所屬集團之職員不可參加等)。A公司為著以上目的收集參加者上述提及的個人資料種類是合理的,未有違反《個人資料保護法》第5條第1款(三)項關於適度原則的規定。雖然如此,考慮到身份證明文件編號為獨一無二的身份資料,應儘量避免與姓名和出生日期同時使用,故本辦公室已去函要求A公司,日後舉辦同類活動時,應審慎決定所收集的資料種類,儘量收集較少的資料,例如只收集部分的身份證明文件編號。
  根據《個人資料保護法》第10條第1款的規定,資料當事人依法享有資訊權,負責處理資料的實體在向資料當事人收集個人資料時,須向資料當事人提供法定資訊(例如:機構的身份、處理的目的、是否有資料接收者等),當中並無訂明負責實體提供資訊的方式,而是要求負責實體確保資料當事人知悉相關資訊。由於A公司的職員讓參加者閱讀並簽署的書面條款內已註明活動舉辦者的身份、收集的資料種類、處理目的及接收者等資訊,可見,A公司已採取書面方式將資訊告知資料當事人,而資料當事人亦有責任在簽署條款前釐清內容,所以A公司即使無提供條款副本,亦不會違反《個人資料保護法》第10條第1款的規定。然而,基於良好行事原則,本辦公室認為上述做法仍有優化空間,故已去函建議A公司考慮提供其他途徑供參加者事後參閱活動條款(例如將文本上載至網頁)。
  另外,就舉報人指現場的電腦屏幕面向排隊人群,所有人可輕易看到或拍攝屏幕畫面一事,A公司指為了讓參加者查看職員所輸入的資料是否有誤,故在現場放置了電腦屏幕,並解釋屏幕是面向參加者並非面向公眾,而且屏幕貼有保護膜,兩旁之人不能看清屏幕的畫面,而且等候登記的顧客隊伍也與櫃枱有所距離,現場有職員維持秩序,不會讓隊伍太靠近櫃枱,所以A公司認為等候隊伍並不容易看到電腦屏幕內容。由於舉報人沒有提供更多的證據,因此現有資料不足以證明參加者的個人資料因A公司安排失當而被其他人知悉。而且A公司為釋除客人疑慮,已把電腦屏幕從登記櫃枱移除,改以其他方式讓參加者確認職員登記的資料。

處理結果:

    本辦公室已將處理結果函覆舉報人和A公司,並建議A公司收集資料種類要適度,以及增加途徑讓參加者參閱活動條款等。個案已歸檔。

註:
參考《個人資料保護法》第3,4,5,6,10條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116