八達通獎賞公司為認證客戶身份目的收集了超乎適度的個人資料,分別是身份證號碼、護照號碼、出生證明書號碼,以及出生年月。
公司可使用其他侵犯私隱程度較低的個人資料,例如電話號碼及住宅地址,以達致同樣目的。
沒有採取合理切實可行步驟,確保已清楚告知客戶資料可能被轉移予別人。
收集個人資料聲明內的印刷字體屬不合理的細小(英文約1毫米×1毫米,中文約2毫米×2毫米)
沒有客戶的同意下,為金錢收益與五個合作商戶共用客戶個人資料。
涉及的交易其實是售賣個人資料,此舉不能視為收集資料的原本目的。客戶雖在獎賞計劃登記表格上簽署同意,但不能構成自願銷售個人資料。