私隱專員揭六成商場會員計劃收集資料「寧濫勿缺」 臉書名稱都問

撰文:倪清江
出版:更新:

個人資料私隱專員公署去年審視商場會員計劃,對41間商場展開循規審查。在52個會員計劃中,公署形容六成收集個人資料時抱有「寧濫勿缺」的心態,有違《個人資料(私隱)條例》行事方式。
究竟有幾濫?部分計劃要求會員提供年齡、身份證號碼、微信帳號、臉書帳戶名稱、八達通號碼,甚至每月收入、是否車主等資料;更有八個會員計劃在設計上,強迫顧客同意有關機構可使用其個人資料作直接促銷用途,而會員不能說不。

私隱專員黃繼兒就商場及網上推廣的個人資料收集概況,發表循規審查報告。(資料圖片)

要求會員提供敏感個人資料違私隱條例原則

個人資料私隱專員公署去年巡視100間商場收集個人資料情況,對其中41間商場展開循規審查。總共發現52個會員計劃,由其中25個商場提供,它們位於13個地區,其中五個位於油尖旺區、四個位於灣仔/銅鑼灣、三個則位於將軍澳/西貢,而中西區、觀塘和荃灣區則各有兩個商場。

私隱專員黃繼兒指出,是次審查發現六成、31個會員計劃收集個人資料時,抱有「寧濫勿缺」的心態。商場要求會員提供聯絡方法、敏感個人資料和個人及家庭狀況相關的資料,有違《個人資料(私隱)條例》下列明不過度收集資料的原則和收集最少資料的行事方式。

是次循規審查結果亦發現:

部分商場會員計劃收集的個人資料,除了基本的聯絡資料(如姓名、電話、地址和電郵地址)外,亦包括較敏感的個人資料(如生日資料、年齡、香港身份證號碼),以至個人及家庭狀況(如每月收入、婚姻狀況、是否車主,及車牌號碼等);
有三個會員計劃(佔52個會員計劃之中的6%)收集18項個人資料;
有20個會員計劃(佔52個會員計劃之中的38%)要求會員強制提供不必要的個人資料;及
有八個會員計劃(佔52個會員計劃之中的15%)在設計上強迫顧客同意有關機構可使用其個人資料作直接促銷用途,而顧客就此沒有其他選擇。

私隱專員黃繼兒指出,在上述「綑綁式同意」的做法及設計下所獲取的同意,不能視為真正和有意義的同意,其做法及設計實際上亦構成不公平收集個人資料,因此應予以停止,而有關商場亦已作出相應更改。

黃繼兒指出,27%、14 個會員計劃涉及過度收集完整生日資料,構成違反《私隱條例》附表 1 保障資料第 1(1)原則的規定;在沒有恰當合理的辯解下收集香港身份證號碼,一般會視為過度收集個人資料,這觀點自八達通案件及於2012年針對會員計劃的隨後調查起,已被確立。

專員公署的報告,詳列各會員計劃所收集的資料種類:

10間要求提供婚姻狀況,又有8間要求提供子女數目,當中一間強制要求提供;
7間要求提供香港身份證/護照號碼,除了一間外,其餘6間都是強制要求提供
3間強制要求提供公司地址;3間要求提供公司名稱,當中2間強制要求提供
2間強制要求提供會員列明父母姓名,另1間要求提供父母性別
3間要求提供就讀學校名稱,2間要求提供就讀年級,當中有個別強制要求提供
2間要求提供八達通號碼
各有1間要求提供臉書帳戶名稱、微信帳號、頭像圖片
1間要求提供車牌號碼

黃繼兒指出,一般而言,私隱專員接受為識辨身份和通訊目的而收集聯絡資料,然而收集香港身份證號碼一般會被視為過度收集個人資料,因為香港身份證號碼屬敏感的個人資料,處理不當會造成如身份盜竊等不必要的風險。至於為市場分析及提供合適優惠的目的而收集個人及家庭狀況有關的個人資料,一般而言可以接受,但同時會員應有不提供這些資料的選擇。

該署點名讚揚和記地產營運的黃埔天地收集最少的個人資料,貴賓優惠卡會員計劃,只收集三項個人資料,包括強制要求提供姓名及電話,並可自由決定是否提供電郵地址以收取宣傳及推廣資訊,資料會於會員年期屆滿後一個月內銷毀,因而被視為最私隱友好的商場。

個人資料私隱專員公署點名讚揚黃埔天地為最私隱友好的商場。(資料圖片)

另外,今次亦審視了300個要求提供個人資料以換取優惠的網頁,並對其中19間網頁營運商展開循規審查。結果顯示,相比其他行業,美容、教育和保健產品及服務業,較多利用網上推廣活動,分別佔是次審查的300個網頁之中的44%、18%及8%;由於網上推廣活動的目的只為吸引顧客領取推廣優惠,只有20個網上推廣活動(佔300個網頁之中的6%)涉及過度收集個人資料,包括香港身份證號碼、生日資料、年齡及每月收入。

公署表示,違規計劃及活動已停止過度收集以會員計劃及網上推廣活動為目的的敏感資料,如香港身份證、護照號碼及生日資料,並已銷毀在以往收集的所有有關資料。有關商場從會員申請表上刪除不必要的項目;又重新設計申請表格,以加入獨立的空格,擬索取申請人同意商場營運商將可使用及/或轉移其個人資料作直接促銷用途,違規網頁營運商已承諾在將來的推廣活動中,不會收集顧客的身份證號碼及/或出生資料。