個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0049/2011/IP

標題: 借還書時將使用者的個人資料展示於電子顯示屏

立案原因: 投訴

個案簡介:

    市民甲向本辦公室投訴,指其數月前在X局轄下A活動中心借書時,中心的兩台電子顯示屏(一台面向借還書者、另一台面向職員)上會展示其姓名,以及身份證號碼或電話號碼,在沒有其他操作時,資料會長期顯示。雖數月前已向該局反映問題,但日前再到該中心退還光碟時,發現情況仍然如是。經向X局投訴,職員解釋有關程式的供應商指可能需作很大改動,但該局電腦部會嘗試自行修改。
  甲認為A中心的做法令其個人資料外洩,且不該讓員工知悉上述資料,故認為A中心涉嫌違反《個人資料保護法》,遂向本辦公室投訴。

分析:

    根據《個人資料保護法》第4條第1款(一)項及第3條第1款規定,本案中有關資料的處理受《個人資料保護法》規範。
  據X局的覆函表示,為方便市民核對借還書資料及避免爭議,A中心會讓市民檢視有關資料。至於檢視時可能被他人看到的問題,中心在年初接到甲的反映後,已要求所有前台人員嚴格遵守工作指引,不得公開展示電腦系統借還書介面,當處理借還書手續後,須立即轉換介面。該中心的圖書室現已完善了有關借還書系統的讀者欄資料顯示方式,只顯示身份證及手機號碼頭尾數字,中間數字以“XX”代替,顯示屏上亦已貼上防窺片。該局已致電甲回覆有關情況,甲表示滿意其處理結果。最後,所有操作系統的人員均須事先申請系統帳戶,並由系統管理人員授予其工作所需的權限 (包括查閱、辦理借還書手續、資料維護等)。該局已就轄下各中心收集市民資料制定《收集個人資料聲明──中心使用者資料》。
  本辦公室人員經實地調查,發現不論是借還書或查詢是否仍有未退還書籍,櫃枱上面向公眾的電腦螢幕均沒有開啟。
  根據X局的組織法及相關訓令,以及《個人資料保護法》第4條第1款(五)項的規定,A中心隸屬於X局,對個人資料處理的目的和方法並不具決定權,故X局為本案的負責處理個人資料的實體。
  在本案中,甲為使用A中心的圖書館服務而向其提供個人資料以作登記,故X局符合《個人資料保護法》第6條所指的資料當事人明確同意的正當性條件。唯根據同一法律第5條的規定,X局在處理個人資料時仍須遵守各項原則,包括適度原則。按該局的解釋,加上本辦公室人員實地調查時發現該中心的顯示屏只在有需要時才開啟讓當事人查看,可以認為A中心的原意只是向資料當事人展示其個人資料,讓其可即場核對和確認資料,並非作公開展示,而且,A中心負有責任確保公共資源不被破壞或浪費,故中心有必要確認借還書者的身份以保障中心和借還書者的權益。因此,該中心的有關做法未見存在違反《個人資料保護法》第5條第1款(三)項有關適度原則的情況。
  根據《個人資料保護法》第15條的規定,X局應採取足夠的安全措施保護個人資料。由於該局所採取之方式有機會令其他在場人士閱覽到電子顯示屏的資料,X局亦應預見相關風險,如其決定將電子顯示屏向資料當事人展示,則應採取相適應的安全措施。其後,該局已採取改善措施以防止被其他在場的無關人士閱覽到相關資料,且未有證據顯示因其未採取足夠的安全措施而令資料外洩,故未見存在違法的情況。
  本案中,按X局的回覆,所有操作系統的人員均須事先申請系統帳戶並由系統管理人員授予其工作所需的權限。而根據《個人資料保護法》第18條第1款、第41條第1款及第2款(一)項的規定,該局員工在處理個人資料時負有職業保密義務,受刑法規範所約束。目前無證據顯示有員工不當披露資料,故亦未見存在違法情況。
  綜上所述,無證據顯示X局的處理存在違反《個人資料保護法》,但存在可改善之處。

處理結果:

    本辦公室決定將本案歸檔,並將處理結果通知甲與X局。

註:
參考《個人資料保護法》第 3,4,5,6,15,18,41 條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116