【縱橫遊洩私隱】旅行社存客戶資料有幾耐?邊間keep多過一年?
兩個月前,旅行社縱橫遊電腦系統遭入侵,估計涉及30萬顧客資料;上星期,兩間旅行社大航假期及金怡假期亦被黑客勒索。喜愛外遊的香港人不得不關注:自己度假過後,旅行社還會保留自己甚麼資料?保留多久?縱橫遊曾透露,公司政策會將顧客之信用卡資料保留一年,個別更包括卡背的信用卡安全碼(CVV),其他聯絡資料更保留足足三年。
《香港01》向數間大型旅行社查詢,發現只有縱橫遊會儲存顧客完整信用卡號碼,而保留客戶資料的時限亦幾乎最長:除了東瀛遊會長期保存顧客電話號碼外,其他大型旅行社均表示會於一年內刪除客戶資料。事實上絕大多數旅行社透過第三方平台作交易,過程不會取得顧客完整信用卡號碼及安全碼;有網絡保安專家指,這種做法令公司無須承擔資料保護的風險。
目前《個人資料(私隱)條例》並沒有指明資料使用者保留個人資料的期限,只須按照其「業務的實際所需及其收集個人資料的原來目的」等等而定。縱橫遊去年11月曾召開記者會,當時表示公司政策是將顧客之信用卡資料(部分包括信用卡安全碼)、顧客的身份證及護照號碼等保留一年,顧客姓名、電話號碼、電郵地址及購買記錄等則保存三年。
未透露有否更改保留資料政策
《香港01》向縱橫遊查詢事件的跟進情況,對方回覆指,警方及私隱專員公署仍在跟進事件階段中,因此詳情及細節不便透露。縱橫遊稱已通知受影響客人,並已加強網絡及儲存資料的保安升級工作,以於短期內達到ISO國際標準。不過,他們的資料保存政策於事件後有無更改,對方並沒有透露。
五大旅行社不收集信用卡安全碼
旅行社竟儲存客戶信用卡資料,連安全碼也記錄下來,連累客人要取消信用卡自保。到底縱橫遊在甚麼情況下,要儲存如此詳細的資料,對方並未有公開。不過《香港01》向5間本地大型旅行社查詢,發現絕大多數公司並不會儲存顧客完整信用卡號碼,更不會保留信用卡安全碼。
美麗華旅遊總經理李振庭表示,他們保留客人個人資料的期限較短,大約於客人完成旅程3個月後便會刪除,包括電話號碼及出生日期等個人資料。他又表示,公司會將顧客資料加密,亦不會收集客人完整的信用卡號碼及信用卡安全碼(CVV),「信用卡中心的單據,都唔會印晒16位信用卡號,而於網上簽帳亦是經信用卡公司的系統。」
永安保留最短 完成服務後一個月即刪
永安旅遊則回覆指,一向重視客戶個人資料之保密性,客戶於報團或訂購機票酒店時所提供的資料,均為預訂相關旅遊服務的必要資料,而網上訂單資料的傳輸亦已採用SSL加密處理;同時公司不會儲存客戶信用卡的安全碼資料。至於數據庫內的重要資料,均採用「***」方式遮蔽,即外間無法獲得完整的資料,確保資料得到妥善保護。在一般情況下,客戶在完成相關旅遊服務一個月後,其訂單內的個人資料將會被刪除。
新華旅遊總經理蘇子揚稱,客戶個人資料於前線的系統會保存一年,強調顧客網上使用信用卡是使用第三方系統,而於店內付費,公司亦只會獲得信用卡首四碼及末四碼,相信安全風險不大。
東瀛遊執行董事禤國全指,不希望過度披露保安情況,以免黑客有機可乘,但強調個別客戶若希望得知自己資料的保存狀況,可向其職員查詢。他僅指:「個人資料範圍好寬,聯絡電話我們一定會保留,例如我們有舊客優惠,會用客人電話去查。」他亦透露,信用卡資料他們於取得信用卡授權後,並不會保留完整號碼,至於信用卡安全碼更是「無可能保存」。
康泰:保留半年 主要作跟進投訴及保險之用
身兼香港旅遊業議會主席的康泰旅行社董事總經理黃進達表示,康泰會將客人完成旅遊服務後半年內,將個人資料刪除,主要用作跟進客人投訴、意見及保險事宜。他又指,公司網上信用卡交易交由第三方,因此過程中不會套取有關資料,而於分店即場「碌卡」,亦不會儲存客人完整信用卡資料。康泰近日亦有審視保安措施有無需要再加強。而在旅議會層面,議會主動聯絡近日涉事的旅行社,以及與警方聯繫。議會將舉辦更多講座,加強會員對網絡安全的認知,亦有介紹一些網絡安全的公司給他們。
市民轟留信用卡資料 自行cut卡保平安
市民蕭先生前年11月以及去年1月初,曾光顧縱橫遊分別預訂酒店及鐵路通票,因此亦擔心自己的資料外洩。縱橫遊表示被入侵後兩三日,他與妻子決定「cut卡」保平安,分別將曾於縱橫遊簽帳的信用卡取消並申請重發新卡。他表示,當時提供的資料包括姓名、身份證號碼及信用卡資料。不過,事件發生至今,他亦沒有收到縱橫遊任何的通知,不知道自己是否受影響的一員。
特別係啲銀行(信用卡)資料,我已經畀晒錢,點解仲要儲存呢?
他表示,已經記不起有沒有見過或簽署過私隱政策聲明,但他認為,通常這些聲明都置於密密麻麻的合約條約之間,顧客容易忽略,建議公司可以另紙列明,或者職員口頭提醒。他又認為,縱橫遊保留資料的時間太長:「特別係啲銀行(信用卡)資料,我已經畀晒錢,點解仲要儲存呢?」他又指,企業儲存客戶資料,有責任做好保安工作:「你呢啲基本都做唔到,而家仲話儲存三年咁耐,有沒有必要呢?」
私隱專員公署:審查進行中
而私隱專員黃繼兒回覆指,公署就縱橫遊懷疑電腦系統遭入侵而可能導致客戶個人資料外洩事件展開循規審查並正進行中,現階段沒有資料補充。作為資料使用者,旅行社必須按《個人資料(私隱)條例》規定妥善保留及刪除客戶的個人資料方面,其中旅行社須採取所有切實可行的步驟,包括確保個人資料的保留時間不得超過達致原來目的的實際所需,以及刪除已不再為使用目的而需要保留的個人資料,除非受任何法律禁止或不刪除該資料是符合公眾利益的。
不過,條例並沒有指明資料使用者保留個人資料的期限,旅行社應按其業務的實際所需、其收集個人資料的原來目的,與及為符合其他法定要求或公眾利益而決定保存個人資料的期限。
去年收一宗投訴
私隱專員補充,他們注意到旅行社會收集和保存大量客戶的個人資料,因此曾於前年一月發表一份有關旅行社個人資料系統的視察報告供業界參考,當中建議旅行社檢視電腦訂位記錄內的個人資料的保留時間,並只保留必需的個人資料。去年(截至12月13日)公署共收到一宗與旅行社個人資料保留相關的投訴,並已按既定程序作出適當跟進。
第三方平台交易 免資料保護風險
香港互聯網協會網絡保安及私隱小組召集人楊和生表示,有些商戶會透過第三方的付款交易平台(payment gateway)作信用卡交易,因此信用卡資料不會經過商戶本身,減低資料保護的風險;而有些商戶會為了增強用戶體驗,儲存用戶的信用卡資料,於後台系統接駁交易平台進行即時交易,但也可能有商戶並無接駁交易平台,於是先收取用戶信用卡資料再手動進行交易,因此並非即時網上交易,亦不一定需要安全碼作交易。
楊建議信用卡用戶使用「雙重認證」服務,以免被不法之徒獲得信用卡資料後用作即時網上交易。他個人習慣會採用同一張信用卡作網上交易,認為較易於管理:「不時監察有無不妥交易,有問題就即時通知銀行。」