個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0120/2015/IP

標題: 電器訂貨單上顯示顧客完整的信用卡號碼

立案原因: 舉報

個案簡介:

    舉報人指在A公司使用信用卡購買電器,發現訂貨單上顯示其完整的信用卡號碼,由於訂貨單是一式多聯,接觸單據的職員能看到信用卡號碼,認為有關做法不當,要求本辦公室跟進。

分析:

    根據《個人資料保護法》第4條第1款(一)項及第3條第1款的規定,本案中有關資料的處理受該法規範。
  A公司解釋於訂貨單上記錄顧客的信用卡號碼是供該公司財務部記錄及核對之用,且如遇有虛假信用卡交易時,保存完整的信用卡號碼可有助調查。考慮到A公司上述做法是為確保信用卡交易安全,避免因虛假信用卡交易而損害公司的利益,在此情況下持卡人的利益或權利、自由和保障不優於該正當利益,故A公司的做法具備《個人資料保護法》第6條(五)項所指的正當性條件。
  然而,A公司的訂貨單上已印有單據編號,該公司財務部應可憑單據編號作核對,另外,本案的信用卡簽賬屬實體卡交易,職員有條件即時核實持卡人的身份及信用卡的真偽,即使有需要將持卡人的信用卡號碼載於訂貨單上,仍可省去部分號碼,以更好保護個人資料。
  鑒於A公司僅因維護正當利益,在遇到虛假信用卡交易時可將涉嫌違法者的資料轉交具權限機構作出追究;其次,訂貨單是顧客取得產品保養、更換或退還訂金等服務的憑據,A公司於訂貨單上記錄顧客的資料同樣可保障顧客權益;再者,訂貨單上僅載有持卡人的信用卡號碼,並無記錄信用卡上的其他資料,記錄有關號碼也非牽涉無關目的,加上在本辦公室調查期間,該公司已主動作出改善,現時只記錄顧客信用卡首4位及尾4位的號碼,中間的號碼以“*”取代。基此,A公司做法未足以構成違反《個人資料保護法》第5條(三)項適度原則的規定。
  至於舉報人憂慮送貨的職員可看到訂貨單上的資料,須指出的是:A公司在收集資料後,有責任按職務內容決定處理顧客資料之職員級別及其可查閱資料的權限範圍,此屬其內部政策。此外,基於所有在履行職務過程中知悉所處理的個人資料之人士均負有職業保密義務,現時未有資料顯示有關程序導致有持卡人的資料外洩,故未見上述做法存有問題。

處理結果:

    A公司已改善相關做法,現時於訂貨單上僅記錄顧客信用卡首尾4位的號碼,中間的號碼以“*”取代,此個案已歸檔。

註:
參考《個人資料保護法》第3,4,5,6條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116