個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0124/2014/IP

標題: 預訂酒店房間需提交身份證明文件副本

立案原因: 舉報

個案簡介:

    舉報人在預訂A公司旗下B酒店的房間時,B酒店職員除要求其填寫授權書外,亦要求信用卡持卡人提交信用卡副本及身份證明文件或護照副本。舉報人認為預訂房間需要提交證件副本的做法涉嫌違反《個人資料保護法》的規定,遂要求本辦公室跟進。

分析:

  ​   A公司為B酒店的持牌人,其對B酒店的活動(包括該酒店對客戶個人資料的處理)具決定權,故A公司為本案的負責實體。
  市民基於訂房而向A公司提供其個人資料(包括填寫授權書、提交信用卡副本、身份證或護照副本等),該公司是在資料當事人明確同意下處理其個人資料,符合《個人資料保護法》第6條規定的正當性條件。同時,A公司為履行與客人之間的住宿合同而處理相關個人資料,亦符合同一法律第6條(一)項的正當性條件。
  據A公司提供的資料,僅當信用卡持卡人承諾為第三人(即住客)透過信用卡支付或擔保費用時,才需填寫授權書,並提交信用卡副本以及身份證或護照副本,而要求持卡人提交授權書是用作確定持卡人為第三人支付費用,以及授權酒店從信用卡扣除費用的意願。
  本辦公室認為,如持卡人並非住客,則持卡人在住客入住前預訂房間,酒店一般無條件當面要求持卡人出示身份證。由於這涉及履行合同的證明,例如證明受益人的身份,確定訂房人(立約人)的身份,故要求在提交授權書時附同訂房人(立約人)的身份證副本。當然,這種要求可能有點過當,而且不一定可行,例如當透過網上訂房時,只能要求住客證明該房間是為其本人而訂。所以這項措施有檢討的空間。
  至於A公司同時要求持卡人提供信用卡副本方面,首先,A公司表示需透過信用卡副本比對授權書上的持卡人簽名式樣是否一致。另外,據支付卡產業安全標準協會(Payment Card Industry Security Standards Council)制定的“支付卡行業數據安全標準”(Payment Card Industry Data Security Standard),商戶在持卡人授權後,可在業務所需或法律規定的時間內以加密方式儲存持卡人姓名、帳戶號碼、有效日期等載於信用卡正面的資料,而處理信用卡驗證代碼主要用於保護消費者和支付卡都不在交易現場的“無實卡”交易(card-not-present transactions),例如互聯網、電郵或電話交易等,確保使用人為真正的持卡人。再者,A公司亦表明B酒店有遵守支付卡產業安全標準協會的標準操作指引以保護信用卡資料,包括在收帳部門確認訂房後,會銷毀信用卡副本等。基此,A公司為確保信用卡交易安全而同時要求持卡人提供信用卡副本的做法亦未見不妥。
  綜上所述,A公司要求持卡人提供信用卡和身份證副本的目的合法、特定、明確及正當,所處理的個人資料亦沒有超越其目的,故未見有違反《個人資料保護法》第5條第1款(二)項及(三)項規定的處理原則。

處理結果:

  本辦公室已將處理結果函覆A公司和舉報人,個案已歸檔。

註:
參考《個人資料保護法》第5,6條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116