私隱專員發表私營補習社視察報告 涉不必要收集、永久保存資料
香港個人資料私隱專員黃繼兒今日(28日)就私營補習服務行業的個人資料系統發表視察報告。
結果顯示,調查所涵蓋的三所私營補習服務機構,所採取的保障個人資料措施大致上可以接受,不過個別機構仍有不足之處,包括不必要或過量收集個人資料、無限期保留資料,及不恰當使用資料等。
私隱專員根據《個人資料(私隱)條例》對三所私營補習機構的個人資料系統進行視察,對象包括連鎖式經營的補習機構、以特許經營模式營運的補習機構,及利用網上媒體提供補習服務的機構。視察行動包括現場視察、神秘到訪,面談及書面查詢等形式進行。
三所機構有採取保障個人資料的措施
視察中發現,三所機構在實際的營運過程中,均有採取保障個人資料的措施,原則上不會胡亂處理或濫用個人資料,亦致力確保該等資料得到妥善管理。當中以流動應用程式提供補習服務平台的機構,審慎利用資訊科技工具分割及監控其電腦系統的存取權限,並將顧客私隱保障納入其產品及服務設計中,減低未獲授權查閱或洩露個人資料的風險。
有機構過量收集、永久保留個人資料
不過,視察發現個別機構的職能中仍有不足之處,包括不必要或過量收集個人資料、無限期保留資料、不恰當使用資料和個人資料的保安做得不足夠。
當中兩所機構涉及過量收集個人資料,而其中的一所機構亦未有在其申請表格內提供個人資料收集聲明。此外,三所機構均於不同情況下採取了永久保留學童或導師的個人資料;而兩間機構亦涉及不恰當地使用個人資料。
私隱專員除建議機構應完善上述問題的政策外,亦建議應將私隱保障納入企業管治,從最高管理層中委任保障資料主任,處理資料保障相關事務;將私隱保障納入新產品及服務設計之中,並就個人資料私隱進行評估。
同時,機構應制定全面的私隱政策,當中涵蓋個人資料收集、準確性、保存期限、使用、保安措施等,並透過培訓及教育提升員工對私隱保障的意識。