個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0065/2014/IP

標題: 信用卡月結單內附他人之月結單

立案原因: 投訴

個案簡介:

    市民甲投訴,指收到A銀行寄來兩封當月的信用卡月結單(月結單日期為同一天),其中一封裝有甲的月結單共兩頁,正面分別標示“PAGE 01”及“PAGE 02”;另一封裝有甲的信用卡月結單一頁,正面標示“PAGE 02”,且裝有另一位客戶乙的信用卡月結單兩頁,正面分別標示“PAGE 01”及“PAGE 02”。月結單內載有的資料種類包括姓名、地址、信用卡號碼等個人資料。甲致電A銀行投訴時,職員只表示銀行有既定機制處理發給客戶的信件,並要求退回乙的月結單。
  甲認為A銀行未有採取適當的安全措施,涉嫌違反《個人資料保護法》的規定,要求本辦公室跟進。

分析:

    根據《個人資料保護法》第4條第1款(一)項及第3條第1款規定,本案中有關資料的處理受該法律所規範。
  本辦公室認為,甲及乙自願向A銀行提交填妥之信用卡申請表,並提供審核申請所需的個人資料,故A銀行在資料當事人明確同意下處理其一般個人資料,具有《個人資料保護法》第6條規定的正當性條件。此外,信用卡申請表中載明之條款,需由申請人簽署確認,可見,A銀行一經發出信用卡,並獲持卡人同意信用卡條款後,雙方即存在合同關係,故該銀行基於提供信用卡服務而處理持卡人的個人資料,亦符合《個人資料保護法》第6條(一)項規定的正當性條件。
  據A銀行網頁所載的《收集個人資料聲明》及《綜合條款及條件--銀行服務》,向持卡人發出信用卡月結單,旨在通知持卡人有關簽賬項目及按時繳付款項,與銀行經營的業務直接相關,並沒超越銀行向客戶提供信用卡服務的範圍,故符合《個人資料保護法》第5條第1款(二)項及(三)項規定的處理原則。
  甲提供的信用卡月結單信函顯示,每張月結單上只載有一位持卡人的資料。按此推斷,兩位持卡人的信用卡月結單被放入同一個信封內,是在月結單列印出來後至完成包封之前的中間程序出現問題。因此,本案癥結為A銀行向客戶郵寄月結單時所採取的安全措施。
  由於信用卡月結單載有信用卡資訊及持卡人簽賬的情況,文件性質具較高的重要性及機密性,且信用卡為借賬支付工具,根據《個人資料保護法》第15條的規定,A銀行有責任採用具合適安全程度的系統,避免客戶的信用卡資料被未經許可人士查閱。但A銀行僅因為月結單系統本身的內部運作問題,導致信用卡月結單被郵寄給持卡人以外的其他人士,且按現有資料未見存在任何不可歸責的情節或因素,故A銀行的相關處理不符合《個人資料保護法》第15條的規定。
  在補救措施上,A銀行指已就資料外洩一事通知乙,並已為其更換信用卡號碼,乙對事件表示接受及諒解。至於甲方面,A銀行亦有意為甲更換信用卡。此外,A銀行在新的月結單系統中加入封裝條碼自動識別功能,以避免同類事件再次發生。
  綜上所述,A銀行的相關處理不符合《個人資料保護法》第15條的規定,雖不構成行政違法行為,但A銀行仍有義務採取適當的安全措施以保護客戶的資料。

處理結果:

    本案已歸檔,並將處理結果函覆甲和A銀行。此外,本案亦涉及金融管理局的權限事宜,故去函通報金融管理局。

註:
參考《個人資料保護法》第3,4,5,6,15條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116