私隐专员发表私营补习社视察报告　涉不必要收集、永久保存资料

香港个人资料私隐专员黄继儿今日（28日）就私营补习服务行业的个人资料系统发表视察报告。
结果显示，调查所涵盖的三所私营补习服务机构，所采取的保障个人资料措施大致上可以接受，不过个别机构仍有不足之处，包括不必要或过量收集个人资料、无限期保留资料，及不恰当使用资料等。

私隐专员根据《个人资料（私隐）条例》对三所私营补习机构的个人资料系统进行视察，对象包括连锁式经营的补习机构、以特许经营模式营运的补习机构，及利用网上媒体提供补习服务的机构。视察行动包括现场视察、神秘到访，面谈及书面查询等形式进行。

三所机构有采取保障个人资料的措施

视察中发现，三所机构在实际的营运过程中，均有采取保障个人资料的措施，原则上不会胡乱处理或滥用个人资料，亦致力确保该等资料得到妥善管理。当中以流动应用程式提供补习服务平台的机构，审慎利用资讯科技工具分割及监控其电脑系统的存取权限，并将顾客私隐保障纳入其产品及服务设计中，减低未获授权查阅或泄露个人资料的风险。

有机构过量收集、永久保留个人资料

不过，视察发现个别机构的职能中仍有不足之处，包括不必要或过量收集个人资料、无限期保留资料、不恰当使用资料和个人资料的保安做得不足够。

当中两所机构涉及过量收集个人资料，而其中的一所机构亦未有在其申请表格内提供个人资料收集声明。此外，三所机构均于不同情况下采取了永久保留学童或导师的个人资料；而两间机构亦涉及不恰当地使用个人资料。

私隐专员除建议机构应完善上述问题的政策外，亦建议应将私隐保障纳入企业管治，从最高管理层中委任保障资料主任，处理资料保障相关事务；将私隐保障纳入新产品及服务设计之中，并就个人资料私隐进行评估。

同时，机构应制定全面的私隐政策，当中涵盖个人资料收集、准确性、保存期限、使用、保安措施等，并透过培训及教育提升员工对私隐保障的意识。