私隐公署发表饮食业企业视察报告　促勿滥收求职者身份证资料

本港饮食业界共雇用超过 22万名雇员，个人资料私隐专员公署早前曾审视一间具领导地位饮食业机构，检视企业就雇佣相关的个人资料系统。私隐署今日（26日）发表报告，认为饮食业应避免滥收求职者身份证资料，建议停止收集求职者部分身份证号码，并完全销毁这些已收集的资料。若求职者透过即时通讯应用程式提交资料，雇主亦应适时删除透过程式所收集的求职者个人资料。

私隐署早前以神秘顾客及手机软件的职位查询，了解该企业就保障个人资料私隐的相关政策。私隐署调查后，发现该公司虽遵从《人力资源管理实务守则》中的大部分规定，惟企业长久以来，偏好滥收求职者的身分证号码资料。求职者在职位申请表上，需提供身分证号码首个字母及首三个数字。私隐署其后向企业查询，企业只表示收集上述资料是用作核实用途，但没有作进一步解释。

私隐署认为，企业在面试前，要求求职者出示身分证明文件，已能达到核实身分目的，形容收集求职者部分身分证号码行为，属过度及不必要，应停止有关安排，并要完全销毁这些已收集的资料。虽然该机构个别做法欠妥，但私隐公署强调，该企业并无实质性的缺失。该企业仍有一些可以改善的地方，希望经建议后提升及加强其私隐管理。

署理香港个人资料私隐专员林植廷表示：“报告中的结果及建议，可作为饮食业界及其他雇主参考，协助他们更好地管理准雇员、现有雇员和已离任雇员的个人资料私隐。”他又鼓励企业推行私隐管理系统，除能有效帮助雇主管理其雇员及顾客个人资料外，亦有助持份者建立与雇员及顾客的信任。

私隐署视察饮食业雇主的报告中，提到企业处理私隐资料，良好及可改善的地方如下︰

良好措施包括：

• 通知求职者资料的保留期限；

• 向面试人员提供范本问题，以避免收集超乎适度的个人资料；

• 不会将落选求职者的个人资料输入人力资源系统；及

• 采取保护雇佣资料的保安措施，包括︰

(a) 资讯管理系统的ISO/IEC 27001认证；

(b) 稳健的密码管理；及

(c) 严格的存取控制。

改善建议如下：

•停止收集求职者的部分身分证号码，并完全销毁这些已收集的资料；

• 确保在每份所收集并持有的雇员身分证副本上均加上横跨整个身分证影像的“副本”的字眼；

• 确保在招聘广告中直接要求求职者递交个人资料时，向所有求职者提供《收集个人资料声明》，或在招聘广告中告知求职者可向其索取《收集个人资料声明》的联络人；

• 适时删除透过即时通讯应用程式所收集的求职者的个人资料；

• 确保网上私隐政策与职位申请表上所述的雇员个人资料的保留期限相符；

• 定期为所有雇员进行资料保障培训及定期更新相关的培训材料；及

• 在与承办商（例如废纸处置承办商）及其他处理雇员个人资料的承办商签订的协议中加入更具保障的条款，例如限制分判、向资料使用者通报资料外泄（如发生的话）。