【纵横游泄私隐】旅行社存客户资料有几耐?边间keep多过一年?

撰文: 蔡静心
出版:更新:

两个月前,旅行社纵横游电脑系统遭入侵,估计涉及30万顾客资料;上星期,两间旅行社大航假期及金怡假期亦被黑客勒索。喜爱外游的香港人不得不关注:自己度假过后,旅行社还会保留自己甚么资料?保留多久?纵横游曾透露,公司政策会将顾客之信用卡资料保留一年,个别更包括卡背的信用卡安全码(CVV),其他联络资料更保留足足三年。《香港01》向数间大型旅行社查询,发现只有纵横游会储存顾客完整信用卡号码,而保留客户资料的时限亦几乎最长:除了东瀛游会长期保存顾客电话号码外,其他大型旅行社均表示会于一年内删除客户资料。事实上绝大多数旅行社透过第三方平台作交易,过程不会取得顾客完整信用卡号码及安全码;有网络保安专家指,这种做法令公司无须承担资料保护的风险。

纵横游曾于记者会透露,公司政策是将顾客之信用卡资料、顾客的身份证及护照号码等保留一年,顾客姓名、电话号码、电邮地址及购买记录等则保存三年。(资料图片)

目前《个人资料(私隐)条例》并没有指明资料使用者保留个人资料的期限,只须按照其“业务的实际所需及其收集个人资料的原来目的”等等而定。纵横游去年11月曾召开记者会,当时表示公司政策是将顾客之信用卡资料(部分包括信用卡安全码)、顾客的身份证及护照号码等保留一年,顾客姓名、电话号码、电邮地址及购买记录等则保存三年。

未透露有否更改保留资料政策

《香港01》向纵横游查询事件的跟进情况,对方回复指,警方及私隐专员公署仍在跟进事件阶段中,因此详情及细节不便透露。纵横游称已通知受影响客人,并已加强网络及储存资料的保安升级工作,以于短期内达到ISO国际标准。不过,他们的资料保存政策于事件后有无更改,对方并没有透露。

五大旅行社不收集信用卡安全码

旅行社竟储存客户信用卡资料,连安全码也记录下来,连累客人要取消信用卡自保。到底纵横游在甚么情况下,要储存如此详细的资料,对方并未有公开。不过《香港01》向5间本地大型旅行社查询,发现绝大多数公司并不会储存顾客完整信用卡号码,更不会保留信用卡安全码。

美丽华旅游总经理李振庭表示,他们保留客人个人资料的期限较短,大约于客人完成旅程3个月后便会删除,包括电话号码及出生日期等个人资料。他又表示,公司会将顾客资料加密,亦不会收集客人完整的信用卡号码及信用卡安全码(CVV),“信用卡中心的单据,都唔会印晒16位信用卡号,而于网上签帐亦是经信用卡公司的系统。”

永安保留最短 完成服务后一个月即删

永安旅游则回复指,一向重视客户个人资料之保密性,客户于报团或订购机票酒店时所提供的资料,均为预订相关旅游服务的必要资料,而网上订单资料的传输亦已采用SSL加密处理;同时公司不会储存客户信用卡的安全码资料。至于数据库内的重要资料,均采用“***”方式遮蔽,即外间无法获得完整的资料,确保资料得到妥善保护。在一般情况下,客户在完成相关旅游服务一个月后,其订单内的个人资料将会被删除。

新华旅游总经理苏子扬称,客户个人资料于前线的系统会保存一年,强调顾客网上使用信用卡是使用第三方系统,而于店内付费,公司亦只会获得信用卡首四码及末四码,相信安全风险不大。

东瀛游执行董事禤国全指,不希望过度披露保安情况,以免黑客有机可乘,但强调个别客户若希望得知自己资料的保存状况,可向其职员查询。他仅指:“个人资料范围好宽,联络电话我们一定会保留,例如我们有旧客优惠,会用客人电话去查。”他亦透露,信用卡资料他们于取得信用卡授权后,并不会保留完整号码,至于信用卡安全码更是“无可能保存”。

康泰:保留半年 主要作跟进投诉及保险之用

身兼香港旅游业议会主席的康泰旅行社董事总经理黄进达表示,康泰会将客人完成旅游服务后半年内,将个人资料删除,主要用作跟进客人投诉、意见及保险事宜。他又指,公司网上信用卡交易交由第三方,因此过程中不会套取有关资料,而于分店即场“碌卡”,亦不会储存客人完整信用卡资料。康泰近日亦有审视保安措施有无需要再加强。而在旅议会层面,议会主动联络近日涉事的旅行社,以及与警方联系。议会将举办更多讲座,加强会员对网络安全的认知,亦有介绍一些网络安全的公司给他们。

市民萧先生曾光顾纵横游,但未被通知是否受事件影响,只好自行取消信用卡。(蔡正邦摄)

市民轰留信用卡资料 自行cut卡保平安

市民萧先生前年11月以及去年1月初,曾光顾纵横游分别预订酒店及铁路通票,因此亦担心自己的资料外泄。纵横游表示被入侵后两三日,他与妻子决定“cut卡”保平安,分别将曾于纵横游签帐的信用卡取消并申请重发新卡。他表示,当时提供的资料包括姓名、身份证号码及信用卡资料。不过,事件发生至今,他亦没有收到纵横游任何的通知,不知道自己是否受影响的一员。

特别系啲银行(信用卡)资料,我已经畀晒钱,点解仲要储存呢?
纵横游顾客萧先生
单据上没有列出私隐政策声明。(蔡正邦摄)

他表示,已经记不起有没有见过或签署过私隐政策声明,但他认为,通常这些声明都置于密密麻麻的合约条约之间,顾客容易忽略,建议公司可以另纸列明,或者职员口头提醒。他又认为,纵横游保留资料的时间太长:“特别系啲银行(信用卡)资料,我已经畀晒钱,点解仲要储存呢?”他又指,企业储存客户资料,有责任做好保安工作:“你呢啲基本都做唔到,而家仲话储存三年咁耐,有没有必要呢?”

私隐专员公署:审查进行中

而私隐专员黄继儿回复指,公署就纵横游怀疑电脑系统遭入侵而可能导致客户个人资料外泄事件展开循规审查并正进行中,现阶段没有资料补充。作为资料使用者,旅行社必须按《个人资料(私隐)条例》规定妥善保留及删除客户的个人资料方面,其中旅行社须采取所有切实可行的步骤,包括确保个人资料的保留时间不得超过达致原来目的的实际所需,以及删除已不再为使用目的而需要保留的个人资料,除非受任何法律禁止或不删除该资料是符合公众利益的。

不过,条例并没有指明资料使用者保留个人资料的期限,旅行社应按其业务的实际所需、其收集个人资料的原来目的,与及为符合其他法定要求或公众利益而决定保存个人资料的期限。

【纵横游泄私隐】20万客户资料被骑劫三日 警成功解锁取回【纵横游泄私隐】黑客一个加密功能玩残纵横游 专家:针对性攻击【纵横游泄私隐】涉20万客户 高层鞠躬道歉不付赎金 吁换信用卡

去年收一宗投诉

私隐专员补充,他们注意到旅行社会收集和保存大量客户的个人资料,因此曾于前年一月发表一份有关旅行社个人资料系统的视察报告供业界参考,当中建议旅行社检视电脑订位记录内的个人资料的保留时间,并只保留必需的个人资料。去年(截至12月13日)公署共收到一宗与旅行社个人资料保留相关的投诉,并已按既定程序作出适当跟进。

杨和生表示有些商户透过第三方平台作信用卡交易,因此信用卡资料不会经过商户本身,减低资料保护的风险。(资料图片)

第三方平台交易 免资料保护风险

香港互联网协会网络保安及私隐小组召集人杨和生表示,有些商户会透过第三方的付款交易平台(payment gateway)作信用卡交易,因此信用卡资料不会经过商户本身,减低资料保护的风险;而有些商户会为了增强用户体验,储存用户的信用卡资料,于后台系统接驳交易平台进行即时交易,但也可能有商户并无接驳交易平台,于是先收取用户信用卡资料再手动进行交易,因此并非即时网上交易,亦不一定需要安全码作交易。

杨建议信用卡用户使用“双重认证”服务,以免被不法之徒获得信用卡资料后用作即时网上交易。他个人习惯会采用同一张信用卡作网上交易,认为较易于管理:“不时监察有无不妥交易,有问题就即时通知银行。”