處理網上的個人資料
互聯網令通訊變得可以無處不在,企業透過網頁進行電子商貿,在處理個人資料上出現了兩種情況:-
1. 透過網頁表格,在顧客的知情下收集顧客的個人資料。
2. 透過軟件技術,在顧客或訪客的不知情下,收集顧客或訪客的個資料。
網站收集個人資料,主要有兩個目的,其一是交易上的需要,例如是網上書店必須取得顧客的個人資料,才可以將貨品送交他的手上;又或必須取得顧客的信用咭資料,才可以取得付款的授權証明。其次是將收集了的資料,用作市場分析、產品推銷或供應給第三者使用。不論何種情況,如果收集的是屬於個人資料,便必須乎合私隱條例的規定。
透過網頁表格取得顧客或訪客的個人資料,是屬於收集個人資料的行為,因此必須乎合條例中上述原則一的要求,即是在收集的過程中,告知資料當事人收集個人資料的目的(purpose)。為了令資料使用者懂得這方面的問題,私人專員公署印製了一份免費派送的小冊子,名為「擬備網上收集個人資料聲明及私隱政策聲明」,由於收集個人資聲明(Personal Information Collection Statement,簡稱PIC Statement)是法例的要求,網站因此必須具備,方法是將聲明寫在表格上,或以超鏈結指向寫有聲明的另一頁。聲明的內容十分簡單,例如「本網站向你收集得到的個人資料,會用作處理你的購貨訂單之用」。如果收集的個人資料有其他的用途,例如是電郵行銷或供第三者作為產品推廣或宣傳用,必須在聲明中列明。
同一本的小冊子亦提及私隱政策聲明(Privacy Policy Statement,簡稱PPS)。這項聲明內容關係到資料的查閱和更正、保安措施和查詢聯絡,條例沒有規定私隱政策聲明必須載於網頁上,但私隱專員和私隱的提倡者,都一律鼓勵網站應將私隱政策聲明載於網頁上,增加私隱措施的透明度。正確的私隱政策聲明,可以增強客戶的信心,網站可以使用一些「不」的聲明令私隱的政策表現得更加透明清晰,例如「本網站記錄瀏覽網頁的人次(以電腦的IP地址分辨)、頁次和時間,但並不收集任何足以識辨瀏覽者身份的資料」。
由於互聯網是一個開放的網絡系統,網頁伺服器隨時會受到不明來歷的襲擊,因此,一些具備付款功能的電子商貿網站應在私隱政策聲明內說明自己的保安措施,用以增強客戶的信心,例如「本網站的付款關閘,是採用1028 bit的SSL,加密程序乎合一般的水平。顧客在本網站購物,信用咭資料和其他個人資料,經加密後才進行傳送,避免在傳送過程中被人截取使用。」