香港人現在去旅行,不少已會用上網上旅遊平台及應用程式,以計劃行程及訂購機票酒店,個人資料私隱專員公署(私隱專員公署)檢視了10個市民較常使用的網上旅遊平台(包括相關網站及應用程式),發現所有被檢視的平台都有追蹤用戶在平台進行的活動,涉及資料包括用戶位置或瀏覽紀錄等。私隱專員公署向網上旅遊平台營運者提供建議,包括只收集必需的個人資料等。
檢視了10個市民較常使用的網上旅遊平台
私隱專員公署了解有關網上旅遊平台收集及使用用戶個人資料的情況,並發表《實測十個網上旅遊平台收集個人資料的情況》報告。該10個平台分別是 (以英文字母順序排列)Agoda、東瀛遊、 Expedia、金怡假期、美麗華旅遊、新華旅遊、專業旅運 、Trip.com 、永安旅遊及縱橫遊。
網上旅遊平台都追蹤用戶活動
在檢視過程中,個別旅遊平台積極改善所提供的保障私隱訊息及用戶界面設計。在私隱專員公署完成檢視後,各平台收集用戶的個人資料的情況概括如下:
- 所有被檢視的網上旅遊平台均有在其網頁及應用程式(如有)內展示私隱政策;
- 所有被檢視的平台均於私隱政策中述明收集用戶個人資料的目的,以及可能會將已收集的個人資料轉移予甚麼類別的第三方(例如航空公司、酒店及保險公司等);
- 只有七個被檢視的平台(Agoda、東瀛遊、Expedia、金怡假期、Trip.com 、永安旅遊及縱橫遊)在私隱政策中述明其資料保留政策;
- Expedia私隱政策的易讀性在十個平台中排名最高,因為其展示方式簡潔易明、善用標題及表格等;
- 所有被檢視的平台均會追蹤用戶於平台進行的活動,涉及的資料包括用戶位置資料及/或瀏覽紀錄等;
- 所有被檢視的平台均有取得用戶在直接促銷方面的同意,但新華旅遊只提供捆綁式同意的選項,而Expedia 、 金怡假期、專業旅運 、 Trip.com和永安旅遊雖提供選項,讓用戶選擇是否同意接收促銷資訊,但選項則預設為同意;
- 用戶毋須註冊或登入帳戶亦可在所有被檢視的平台預訂或購買部分旅遊產品;
- 若用戶選擇進行帳戶註冊,被檢視的平台會在用戶進行帳戶註冊時收集一至六項個人資料;
- 四個被檢視的平台(Agoda、Expedia、Trip.com和永安旅遊)在結賬頁面提供自動儲存用戶所輸入的個人資料的選項;及
- Agoda和Expedia在其私隱政策中列明會使用人工智能(AI)來提供服務,過程中或會使用用戶的個人資料。
10個市民較常使用的網上旅遊平台
增加收集個人資料透明度
個人資料私隱專員鍾麗玲表示,歡迎部分網上旅遊平台在檢視過程中已經積極改善它們提供的保障私隱訊息及用戶界面設計。是次檢視旨在協助相關網上平台提升它們的服務質素,增加相關平台收集個人資料的透明度,令市民進一步了解相關平台的保障私隱政策及用戶界面設計,得以在訂購網上旅遊產品時,更好地保障自己的個人資料私隱。
私隱專員公署提出9個建議
根據檢視結果,私隱專員公署向網上旅遊平台營運者提供以下良好行事方式及加強私隱保障的建議:
1. 實施個人資料私隱管理系統
設立及貫徹實施個人資料私隱管理系統,並委任保障資料主任,以監察遵從私隱法規的情況。
2. 將保障私隱融入平台設計
在開發及設計網上平台時,應充分將保障用戶私隱融入設計之中,採用「貫徹私隱設計」11及「預設私隱」12模式。良好的私隱設計包括以最能保障私隱選項為預設選項、着重向用戶提供私隱相關選項,以及適時向用戶提供相關的同意選項。
3. 只收集必需的個人資料
應僅從用戶收集進行註冊或交易所需的個人資料,並允許用戶以訪客身分購物。作為良好的行事方式,平台應避免以禮品或現金回贈等方式誘導用戶提供非必要的個人資料,亦不應使用任何「誘導性設計模式」(如界面干擾和糾纏不休等)要求及 /或誤導用戶提供非必要的個人資料。
4. 提供清晰易明的私隱政策
應把私隱政策的連結放置於當眼處,方便用戶點擊參閱,並確保私隱政策清晰明確、包含與保障用戶個人資料私隱的所有相關資訊。平台可採用分層式展示或以圖片、短片或其他簡潔易明的方式以輔助說明,增加私隱政策或相關內容的易讀性。
5. 提高AI處理個人資料的透明度
如平台在營運中涉及使用AI處理個人資料作自動化決策或其他用途,平台宜在其私隱政策中清晰披露有關AI的使用目的及所涉及的個人資料的類別。如平台提供與自動化決策相關的選項,則宜在私隱政策中清楚說明用戶能如何行使他們在這方面的選擇。
6. 提供便捷的刪除帳戶選項
應提供簡單直接的刪除帳戶方法,避免設定過多或不必要的步驟,阻礙用戶刪除帳戶(例如用戶需要經過多重點擊次數以尋找相關的刪除帳戶選項、或用戶必須先回答冗長的問卷才能成功刪除帳戶)。
7. 謹慎使用第三方服務
如引入第三方服務,例如付款平台及 AI 分析工具 (如度身訂造行程規劃、自動個人化旅遊保險推薦等),平台應確保第三方服務提供者在私隱保障及數據安全方面的可靠性,並宜向用戶披露有關服務和技術的使用。
8. 提供足夠的用戶控制權
為保障用戶私隱,平台應提供更多的私隱設置控制選項,包括免註冊進行交易、接收各類資訊的偏好、刪除用戶紀錄(例如交易或搜索紀錄)及提供會否自動儲存用戶個人資料或付款資料的選項等。平台提供相關選項時,不應採用具引導性的語言或界面設計誘導用戶選擇特定選項。
9. 提供使用個人資料於直接促銷的選項
如將會使用用戶的個人資料向他們提供直接促銷,應明確表達相關用途,並就此徵求用戶的同意。有關選項應避免預設為同意,亦應避免要求用戶提供捆綁式同意,以免影響用戶決定。
私隱專員公署對用戶建議
至於網上旅遊平台的用戶,私隱專員公署亦向他們提供以下建議:
- 閱讀私隱政策;
- 調整私隱設定;
- 注意有關直接促銷的設定,根據自身需要作出相應的選擇;
- 提供最少量的個人資料;
- 留意AI的使用,了解平台是否涉及使用AI處理個人資料作自動化決策或其他用途,並了解用戶在這方面的選擇;及
- 刪除不再使用的帳戶,減低資料外洩風險。
有騙徒冒充網上旅遊平台
此外,私隱專員公署亦留意到最近有騙徒冒充一些網上旅遊平台,在社交媒體上開設偽冒專頁,進行詐騙。公署呼籲市民在網上購買旅遊產品前,先檢查相關網站、社交平台專頁等的真確性,對商戶的收款名稱和銀行賬戶號碼等提高警覺,並應透過官方渠道購買旅遊產品,減低受騙風險。
查詢或投訴方法
市民若懷疑被騙取個人資料,可向私隱專員公署(「個人資料防騙熱線」:3423 6611、電郵:[email protected])作出查詢或投訴。
更多《香港財經時報》內容
職場|Jobsdb薪酬趨勢2025:預期打工仔平均加薪1.8%!3個工種加幅超過3%