個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0003/2011/IP

標題: A學院的確認電郵包含身份證編號

立案原因: 舉報

個案簡介:

    市民甲指,日前他到A學院報讀某課程時遞交了個人資料,及後收到A學院的確認電郵,內容包括甲的申請編號、申請狀態、報讀之課程名稱、報讀人姓名、電話及完整之證件編號。
  甲認為,A學院的確認電郵包含身份證編號,違反了《個人資料保護法》的相關規定,於是向本辦公室作出舉報。

分析:

    根據《個人資料保護法》第4條第1款(一)項及第3條第1款規定,本案中有關資料的處理受《個人資料保護法》規範。
  根據A學院的覆函表示,報讀者通過互聯網報名及在線填寫個人資料時,“網上報名須知”會列出:“成功遞交網上報名表格後,申請人將收到附有個人申請編號之確認電子郵件。”即使報讀者親身提交報名表,仍須自行透過該學院內的電腦重新輸入報名表的資料,並以網上方式提交。A學院解釋將報讀者的個人資料載入確認電郵的目的是:為了確認報讀者已成功提交資料及讓報讀者核對資料。A學院也提供了有關資料安全措施的資訊。
  本辦公室認為,報讀者通過互聯網報名,於網上報名表格輸入自己的個人資料,等同表示同意A學院處理其個人資料,即A學院具有《個人資料保護法》第6條規定的正當性條件。
  A學院處理上述個人資料時需遵守《個人資料保護法》第5條規定的原則。身份證編號、出生日期、父母資料及工作經驗等資料非為確認報讀者成功報名所必需,尤其是完整的身份證編號為獨一無二的身份資料,除非有充足的理由,否則不應與報讀者的姓名同時在公開網絡傳送。其次,報讀者在提交個人資料時有責任核實資料,綜觀本澳其他高等院校多以用戶帳號方式,讓學生於網上登入查詢其已填寫的個人資料,避免在公開網絡上傳送帶來的風險。
  A學院指出,其入學申請網頁是以SSL加密型式傳送資料,報讀者在線填寫的資料儲存在學生資訊管理系統內,獲授權的教務處員工須以用戶帳號登入該系統。未被錄取者提交的紙張資料如身份證副本等,將於一年內統一銷毀。A學院表示已制定個人資料保護指引,“……各類課程報考學生所提供的所有個人資料及文件……必須嚴格保存及管理……”本辦公室認為,A學院所採取的資料安全措施內部系統處理報讀者的資料,已符合《個人資料保護法》第15條規定的採取適當的安全措施,但A學院其將回覆相關資料透過公開的網絡以電郵方式傳送到報讀者的電郵地址,不利確保資訊安全,難以確保其使用的網站或瀏覽器具有足夠的安全措施及資料不會外洩。
  因此,本辦公室認為在本個案中A學院的確認申請的處理方式不利確保資訊安全,因此,建議其在方式及資料類別的適度性方面加以改善。
  綜上所述,A學院沒有違反《個人資料保護法》,但須改善處理的方式。

處理結果:

    本辦公室已致函通知A學院上述分析,並建議其改善確認申請的方式,採用更安全、更適合的方式處理相關個人資料。
  此後,A學院已經作出改善,現確認電郵內只載有報讀者姓名及考生編號。

註:
參考《個人資料保護法》第 3,4,5,6,15 條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116