在實體零售店或網上接受付款方式時,企業務必注意閣下需要遵守的規則,以確保遵守法律。 隨着非接觸式支付的興起和網絡攻擊的風險增加,以下是閣下在接受付款時需要了解的內容。
為了接受在線支付,大部分網上企業使用零售支付系統和儲值支付工具。
零售支付系統 vs 儲值支付工具
零售支付系統處理零售簽賬的轉賬和/或結算,例如銀聯、美國運通和萬事達卡等信用卡,而儲值支付工具可用於預付購買商品或服務的金額。
有3種類型的儲值支付工具需要遵守監管要求
- 單一用途,僅可用於從一個商家購買商品,例如禮品卡,或它可以是多用途的,例如八達通卡。
- 實體形式的儲值支付工具是指把儲值儲存於實物裝置上,而非實體裝置的儲值支付工具則把儲值支付的金額儲存於實物裝置上,例子包括卡或手錶或飾物等實物裝置上的電子晶片內卡片。
- 網絡形式的儲值支付工具是指使用使用把儲值儲存於通訊網絡或網絡系統上,這包括互聯網支付系統、流動支付系統和預付卡。
監管要求
- 如果閣下的企業接受多用途、實體形式和網絡形式的儲值工具,那麼閣下應該確保運營商擁有香港金融管理局(金管局)的牌照,但它不適用於單一用途的儲值支付工具的運營商
- 至於零售支付系統的營運商,如果零售支付系統在香港營運或處理港元或金管局規定的任何其他貨幣,金管局則有權指定零售支付系統,並監督該營運商
資料的保護
《個人數據(隱私)條例》適用於閣下接受付款時。 儲值支付工具和零售支付系統應該只收集進行其服務所需的資料。閣下最好依靠儲值支付工具和零售支付系統來收集付款資料。如果閣下的企業收集了更多的個人資料,那麼違反《個人隱私條例》的風險就會更大,在遭遇網絡攻擊時也會處於更不利的地位。
經營者應澄清他們收集哪些個人資料,如何使用這些數據以及將其傳送給誰。這應該以清晰易明的方式呈現。
如果企業打算將收集的個人資料用於任何與接收付款無關的其他用途,例如用於識別目的,則應明確說明並徵求付費消費者的同意。
儲值支付工具的經營者需要定期進行正式的風險評估,以保持高度的安全性來保護個人資料,而其徹底性取決於資料的敏感程度。 因此,資料越敏感,需要承擔的安全風險就越大。
經營者需要與第三方代理合作,通過合約或其他方式處理收集的個人資料,以確保傳輸給第三方代理的資料不會超過必要的保存時間。 這可以防止任何意外造訪或未經授權的處理,從而大大減少丟失或濫用資料的機會。
卡的支付
大部分支付卡計劃的經營者需要遵守由金管局監管的《支付卡計劃營運機構實務守則》。 因此,如果閣下的企業接受信用卡付款,則應統符合資料安全的業界標準。
電子支付記錄
電子支付包括Visa、萬事達、銀聯等。 由於這些電子支付的記錄以電子方式存儲,因此這些記錄受《電子交易條例》(ETO) 的約束。 如果閣下經營者需要任何電子簽名,《電子交易條例》將允許閣下合法地保留電子記錄。
重點摘要
- 閣下需要進行盡職審查以確保閣下使用的儲值支付工具和零售支付系統經營者獲得適當的牌照,並遵守 《個人數據(隱私)條例》的準則,並且有足夠的安全措施
- 如果企業收集其他個人數據,應明確說明並徵得客戶同意
參考資料