黃繼兒今日就私營補習服務行業的個人資料系統發表視察報告。資料圖片
黃繼兒今日就私營補習服務行業的個人資料系統發表視察報告。資料圖片

香港個人資料私隱專員黃繼兒,今日就私營補習服務行業的個人資料系統發表視察報告。結果顯示,視察所涵蓋的三所私營補習服務機構所採取的保障個人資料措施大致上可以接受,但從個別機構的職能中仍反映不足之處。

黃繼兒指,從個別機構的職能中仍反映不足之處,包括不必要或過量收集個人資料、無限期保留資料、不恰當使用資料和個人資料的保安做得不足夠。私隱專員認為,視察結果反映該行業在保障個人資料私隱上仍有不少改善空間。報告向私營補習服務行業提出多項改善建議,讓業界完善其個人資料保障的政策及運作常規,並鼓勵業界將私隱保障提升至企業問責層面,與顧客建立互信基礎。

私隱專員根據《個人資料(私隱)條例》,對三所不同營商模式的補習服務機構的個人資料系統進行視察。視察發現,三所機構均視學童、家長及導師的個人資料為重要資產,原則上不會胡亂處理或濫用個人資料,亦致力確保該等資料得到妥善管理。其中以流動應用程式提供補習服務平台的機構,能利用其在資訊科技方面的優勢,審慎利用資訊科技工具分割及監控其電腦系統的存取權限,並將顧客私隱保障納入其產品及服務設計中,減低未獲授權查閱或洩露個人資料的風險。三所機構在營運過程及常規中均有採取保障個人資料的措施,但相關措施只在個別職能中體現,未能將私隱保障納入其企業管理中。

私隱專員建議,機構建立及全面執行私隱管理系統,採用私隱管理系統作為框架,輔以行之有效的檢討及監察程序,建立健全的私隱保障基建。私隱專員亦建議,將私隱保障納入企業管治,從管理層中委任保障資料主任管理相關事務;將私隱保障納入新產品及服務設計之中,並就個人資料私隱進行評估;訂立保留個人資料期限的政策,以及銷毁已超過保留期限的資料的程序及方式;以及制定全面的資訊保安政策,包括資訊科技系統及實體保安措施等。