PDF《2017 年抽查报告：》

及/或?收集个人资料声明 . 9. 在本报告中,私隐政策及收集个人资料声明统称为「私隐政策」. IV. 全球抽查结果 10. 全球24个私隐执法机关(包括公署)检视了不同行业共455个资料使 用者的私隐政策及实务措施,包括零售、金融及银行、旅游、社交媒体、游戏/博彩、教育及健康护理.全球抽查行动所得的主要结果如下: ? 不同行业的私隐政策及实务措施大多倾向使用含意广泛的语句, 以致内容含糊、欠缺具体详情. ? 大部分机构没有告知用户/顾客在收集其资料后会如何处理. ? 机构普遍有向用户/顾客交待会收集甚麽资料. ? 机构普遍没有指明会与何人分享个人资料. ? 很多机构没有清楚交待所收集及持有的资料的保安措施.顾客大 多不清楚资料是储存於哪个国家,或是否有任何保安措施. ? 在被检视的机构中,只有仅过半数有提及用户/顾客可如何查阅 其个人资料. V. 公署抽查结果 11. 顾客奖赏计划的私隐政策及措施可能会随著时间而有所变更.因此, 本报告的结果只能反映

2017 年5月时的状况.

5 12. 公署的抽查结果大致与上述的全球抽查结果一致.公署在抽查行动所 得的主要观察结果会以下述四方面论述: ? 欠缺透明度;

? 没有具意义的同意;

? 欠缺对个人资料的控制;

及?涉及大数治黾案鋈烁趴龌惚嗟乃揭缦. A. 欠缺透明度 13. 全部

30 个顾客奖赏计划 (100%) 都备有私隐政策,而当中

29 个(96.67%) 的私隐政策均容易找到. 14. 不过,很多私隐政策都使用空泛及含糊的语句,以致有欠清晰.例如: ? 部分私隐政策对於与甚麽类别人士分享个人资料,采用含糊的描 述,例如:「我们的母公司」,「我们任何子公司」, 「与本公司 有联系的机构」, 及「为任何 [我们的附属机构] 提供行政、电信… 或其它服务的商业合作夥伴」;

? 有些私隐政策以空泛及含糊的字眼描述收集个人资料的目的,例如:「以改善营销策略及为会员提供更适切的服务」;

「供我们的 子公司、关联公司及/或业务关联公司用於任何其他旅游相关服 务,及任何有关公司不时提供的优惠」;

? 五份私隐政策 (16.67%) 没有指明会收集甚麽个人资料,令顾客难 以清楚了解资料收集的程度;

及?三份私隐政策 (10%) 没有指明个人资料会否披露予第三者.

6 B. 没有具意义的同意 15. 全部

30 个计划 (100%) 在处理申请前均要求顾客同意其私隐政策.顾 客同意接受有关私隐政策的同时,已对当中有关其个人资料的所有用途3 给予「绑式同意」.换言之,即使政策列明个人资料会被用於某些与营运计 划无关的目的,例如:「为促成任何目的而与其他个人资料进行核对程 序」,顾客也被视为同意了有关用途. 16. 企业或商业机构倾向将私隐政策写得相当广阔,以涵盖所有可能情 况,并且不会向顾客提供分项选择.顾客只能全盘接受或拒绝.因此,很多 顾客会索性略过私隐政策,直接给予同意.没有真正的选择,顾客不能作出 具意义的同意.因此,当顾客知道其个人资料被用於超越他们预期的用途, 他们或会感到惊,甚至愤怒.这可能会损害计划营运商的声誉. C. 欠缺对个人资料的控制 要求删除个人资料的权利 17. 《个人资料(私隐)条例》(条例)没有赋予个人要求删除其个人资 料的权利,只规定资料使用者在达致收集个人资料的原本目的(包括直接有 关的目的)后,删除有关资料4 .不过,作为良好的行事方式,资料使用者 应在个人拟终止与他们的合约或其他关系时,向有关人士提供有效的方法, 让他们可以要求删除其个人资料,除非资料使用者有强烈理由保留有关资 料,而有关理由凌驾资料当事人的个人资料私隐权利.