個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0034/2010/IP

標題: 有否出售積分卡會員個人資料

立案原因: 主動介入

個案簡介:

    香港報章報導,指香港四大積分卡之合約條款准許公司出售客戶個人資料,令客戶個人資料有外洩危機。  
  考慮到事件涉及之A集團在本澳有經營業務,且本辦公室不曾收到有關公司的通知申報,本辦公室決定主動立案跟進。

分析:

    根據《個人資料保護法》第4條第1款(一)項及第3條第1款規定,本案中有關資料的處理受《個人資料保護法》規範。  
  本辦公室致函A集團及其旗下之B公司了解Y積分卡會員個人資料的情況。  
  資料顯示,Y積分卡《條款及細則》第8.4點訂明,“您並同意,我們可披露及轉移……您個人資料的權利予……任何信貸供應商、銀行……。”   
  B公司覆函表示,就有關個人資料的出售及轉移問題,B公司不曾出售Y積分卡會員個人資料,目前只曾轉交予總公司A集團及服務供應商C公司,以作資料記錄、分析客戶資料及提供優惠訊息。對資料轉移予總公司,是通過一系列資訊安全措施等,以及制定資訊安全政策、指引,以確保資料傳遞及儲存的安全性。對轉移資料予服務供應商C公司,A集團與C公司已簽訂服務協議,協議內設有嚴格保密條款。  
  本辦公室認為,單靠Y積分卡《條款及細則》第8.4點訂明之條款,不能確認其中之機構與A集團的關係,但據法律規定,A集團只有將相關資料轉交予次合同人、新的所有權人、符合法律規定的其他資料接收者,才具有合法性。針對這種以全面涵蓋字眼取得資料當事人同意的條款,負責實體應確保資料當事人知悉及理解條款的內容。然而,該《條款及細則》所用的字體(中文字約1毫米乘1毫米;英文字則約1毫米乘0.5毫米)卻比引起社會廣泛關注的香港“XX通日日賞計劃”所用的字體更細小,行距更緊密,造成閱讀困難。  
  本辦公室認為,A集團應採取切實可行的措施,向申請人明確展示《條款及細則》的內容。再者,根據《個人資料保護法》第10條第1款規定,A集團應在《條款及細則》的資料轉移條款中界定資料接收者的類別。本辦公室認為,A集團在處理Y積分卡會員個人資料時,已採取措施儘量確保個人資料處理的安全性和保密性,也沒有資料顯示其將會員個人資料用於偏離收集資料之目的,或將其出售圖利。  
  及後,B公司已依法向本辦公室作自動化處理通知及轉移通知,並對其與總公司之間的資料互聯,向本辦公室申請互聯許可。  
  目前沒有任何資料或跡象顯示Y積分卡會員的個人資料已經或將會被出售圖利。

處理結果:

    本個案作歸檔處理。本辦公室並致函提醒B公司有關《條款及細則》的轉移資料條款事宜。

註:
參考《個人資料保護法》第 3,4,10 條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116