私隐专员发表私营补习社视察报告 涉不必要及过量收集个人资料

香港个人资料私隐专员黄继儿，今日就私营补习服务行业的个人资料系统发表视察报告。结果显示，视察所涵盖的三所私营补习服务机构所采取的保障个人资料措施大致上可以接受，但从个别机构的职能中仍反映不足之处。

黄继儿指，从个别机构的职能中仍反映不足之处，包括不必要或过量收集个人资料、无限期保留资料、不恰当使用资料和个人资料的保安做得不足够。私隐专员认为，视察结果反映该行业在保障个人资料私隐上仍有不少改善空间。报告向私营补习服务行业提出多项改善建议，让业界完善其个人资料保障的政策及运作常规，并鼓励业界将私隐保障提升至企业问责层面，与顾客建立互信基础。

私隐专员根据《个人资料（私隐）条例》，对三所不同营商模式的补习服务机构的个人资料系统进行视察。视察发现，三所机构均视学童、家长及导师的个人资料为重要资产，原则上不会胡乱处理或滥用个人资料，亦致力确保该等资料得到妥善管理。其中以流动应用程式提供补习服务平台的机构，能利用其在资讯科技方面的优势，审慎利用资讯科技工具分割及监控其电脑系统的存取权限，并将顾客私隐保障纳入其产品及服务设计中，减低未获授权查阅或泄露个人资料的风险。三所机构在营运过程及常规中均有采取保障个人资料的措施，但相关措施只在个别职能中体现，未能将私隐保障纳入其企业管理中。

私隐专员建议，机构建立及全面执行私隐管理系统，采用私隐管理系统作为框架，辅以行之有效的检讨及监察程序，建立健全的私隐保障基建。私隐专员亦建议，将私隐保障纳入企业管治，从管理层中委任保障资料主任管理相关事务；将私隐保障纳入新产品及服务设计之中，并就个人资料私隐进行评估；订立保留个人资料期限的政策，以及销毁已超过保留期限的资料的程序及方式；以及制定全面的资讯保安政策，包括资讯科技系统及实体保安措施等。