個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0092/2015/IP

標題: 燃油加注站的職員在信用卡簽帳單上記錄顧客的車牌號碼

立案原因: 舉報

個案簡介:

    舉報人指A燃油加注站的職員在未作任何知會的情況下,在信用卡簽帳單上記錄以信用卡付款的顧客之車牌號碼,認為有過多收集個人資料之嫌,要求本辦公室跟進。

分析:

    根據《個人資料保護法》第4條第1款(一)項及第3條第1款的規定,本案中有關資料的處理受《個人資料保護法》規範。
  據調查得悉,A燃油加注站的營運商為B公司,B公司指為避免虛假信用卡交易,以及保障顧客的信用卡不被盜用,該公司要求A燃油加注站的職員告知顧客在信用卡簽帳單上填寫車牌號碼,若顧客忘記,則會由職員代行。可見,B公司對處理相關資料之方式及目的具決定權及控制權,根據《個人資料保護法》第4條第1款(五)項的規定,B公司為負責處理個人資料的實體。
  一般而言,如顧客自願在信用卡簽帳單上填寫車牌號碼,則B公司具《個人資料保護法》第6條資料當事人明確同意的正當性條件。此外,B公司指收集以信用卡付款的顧客之車牌號碼,是為防止虛假信用卡交易的違法行為發生,相關顧客的利益或權利、自由和保障不優於該正當利益,故B公司亦具備《個人資料保護法》第6條(五)項所指正當性條件。
  本案中,B公司的做法是為防止虛假信用卡交易的違法行為發生,避免損害公司的利益,收集該項資料是為了特定、明確正當和與公司活動直接有關的目的,符合《個人資料保護法》第5條第1款(二)項的規定。
  然而,需指出燃油加注站處理的交易金額一般不高,且屬實體卡交易,職員可即場核實持卡人身份及信用卡的真偽,亦有條件拒絕可疑交易。即使商戶有需要進一步收集更多的個人資料,亦應針對有跡象使用虛假信用卡交易的人士,而非所有的信用卡交易。考慮到收集車牌號碼對資料當事人的影響較少,而B公司僅因維護正當利益,以便在遇到虛假信用卡交易時可將違法者的資料轉交執法部門或發卡機構追究,故有關做法未足以構成違反《個人資料保護法》第5條第1款(三)項所指的適度原則。但為更好履行適度原則的規定,以最少介入的方式處理個人資料,經本辦公室介入後,B公司已改善目前的做法,不再收集所有以信用卡交易的顧客的車牌號碼。
  此外,如日後遇到個別情況需收集客戶的個人資料時,B公司亦應根據《個人資料保護法》第10條第1款之規定,向當事人清晰提供法定的資訊,並應儘快制定相關的《收集個人資料聲明》及政策,將該聲明置於燃油加注站備用,以便當事人行使查閱權。

處理結果:

  由於B公司已取消收集以信用卡付款的顧客之車牌號碼,此個案已歸檔。

註:
參考《個人資料保護法》第3,4,5,6,10條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116