私隱專員發表私營補習社視察報告　涉不必要收集、永久保存資料

香港個人資料私隱專員黃繼兒今日（28日）就私營補習服務行業的個人資料系統發表視察報告。
結果顯示，調查所涵蓋的三所私營補習服務機構，所採取的保障個人資料措施大致上可以接受，不過個別機構仍有不足之處，包括不必要或過量收集個人資料、無限期保留資料，及不恰當使用資料等。

私隱專員根據《個人資料（私隱）條例》對三所私營補習機構的個人資料系統進行視察，對象包括連鎖式經營的補習機構、以特許經營模式營運的補習機構，及利用網上媒體提供補習服務的機構。視察行動包括現場視察、神秘到訪，面談及書面查詢等形式進行。

三所機構有採取保障個人資料的措施

視察中發現，三所機構在實際的營運過程中，均有採取保障個人資料的措施，原則上不會胡亂處理或濫用個人資料，亦致力確保該等資料得到妥善管理。當中以流動應用程式提供補習服務平台的機構，審慎利用資訊科技工具分割及監控其電腦系統的存取權限，並將顧客私隱保障納入其產品及服務設計中，減低未獲授權查閱或洩露個人資料的風險。

有機構過量收集、永久保留個人資料

不過，視察發現個別機構的職能中仍有不足之處，包括不必要或過量收集個人資料、無限期保留資料、不恰當使用資料和個人資料的保安做得不足夠。

當中兩所機構涉及過量收集個人資料，而其中的一所機構亦未有在其申請表格內提供個人資料收集聲明。此外，三所機構均於不同情況下採取了永久保留學童或導師的個人資料；而兩間機構亦涉及不恰當地使用個人資料。

私隱專員除建議機構應完善上述問題的政策外，亦建議應將私隱保障納入企業管治，從最高管理層中委任保障資料主任，處理資料保障相關事務；將私隱保障納入新產品及服務設計之中，並就個人資料私隱進行評估。

同時，機構應制定全面的私隱政策，當中涵蓋個人資料收集、準確性、保存期限、使用、保安措施等，並透過培訓及教育提升員工對私隱保障的意識。