私隱外洩︱疫情圍封強檢近2萬市民個資外洩 私隱署批違私隱例 機電署: 會嚴肅跟進
發佈時間:11:32 2024-12-09
【私隱外洩/個人資料/圍封強檢】個人資料私隱專員公署今日(9日)發表兩份調查結果,第一份是關於機電工程署個人資料外洩事故,第二份是關於僱主透過網上招聘平台 JobsDB刊登匿名招聘廣告的個案。其中,機電工程署在前年新冠疫情期間協助「圍封強檢行動」,有受檢測人士的個人資料,包括姓名、地址、身份證號碼及電話號碼等懷疑外洩,涉及超過17,000人。
私隱外洩︱機電署回應 : 會嚴肅跟進和採取適當行動
機電署回應時表示,會詳細審視報告內容,並會嚴肅跟進和採取適當行動。該署已採取一系列措施包括強化私隱管理、全面檢視及加強處理個人資料的工作指引、加強員工培訓和對網上伺服器平台承辦商的監管,以及優化部門電腦支援系統,包括開發專用平台將個人資料儲存於該署伺服器內。
私隱外洩︱機電署協助執行14次圍封行動
私隱公署解釋,2022年3月至7月,機電工程署協助執行了14次圍封行動,其中使用一個雲端平台的電子表格,紀錄了受檢查市民的個人資料,包括姓名、完整地址(包括樓層、座數、單位)、身份證號碼、電話號碼、年齡、性別、有沒有接種過新冠疫苗、確診紀錄等。
私隱外洩︱做法明顯不符《私隱條例》要求 有負公眾合理期望
不過公署在今年4月接獲市民反映,指其個人資料可以在該平台上搜尋得到。公署立即通知機電署,後者發現事件後通知承辦商,有關資料即日被刪除。
報告指出,機電署原先認為在合約屆滿後,該電子平台的帳戶會失效,有關資料亦會自動刪除。
私隱公署批評,機電署在事件中有4項缺失,沒有就強檢行動收集的個人資料保存期限制訂書面政策、沒有向承辦商提出刪除資料的要求、沒有主動刪除涉事個人資料、沒有適切跟進刪除資料的情況。公署裁定機電署沒有採取所有切實可行步驟,以確保保存時間不超過使用實際所需時間,亦沒有採取所有切實可行的步驟,以確保涉事的個人資料受保障而不受未獲准許或意外的查閱等,違反《私隱條例》規定。該署認為,機電署有負公眾的合理期望,令人遺憾。
私隱專員鍾麗玲表示,理解參與檢疫工作的部門,需要迅速部署並執行行動,由於時間緊迫,機電署在籌劃及展開強檢行動時或許未及考慮日後刪除個人資料的政策和安排。可是,她認為做法明顯未能符合《私隱條例》要求,有負公眾的合理期望,令人遺憾。
私隱公署已向機電署送達執行通知,指示採取措施糾正違規事項,防止類似違規情況再發生。
私隱外洩︱機電署:詳細審視報告 嚴肅跟進和採取適當行動
至於就「圍封強檢」行動所涉及的網上伺服器平台服務,機電署稱與該承辦商的採購條款內,已列明於服務期完結後,承辦商會刪除相關資料;而該署亦已清楚通知承辦商服務期於2023年2月底完結。該署於今年4月30日知悉有關資料外洩後,一直採取積極及負責任的態度,向執法部門匯報相關個案,並配合公署的調查工作。由於該署留意到公署早前公布該承辦商提供的網上伺服器平台,於同期均出現其他個人資料外洩的個案,該署亦即時向該承辦商深入了解伺服器平台的運作詳情,確保有關資料已完全被移除。
就是次事件,機電署已總結經驗,並致力建立一套更穩健的私隱保安框架和保障個人資料企業文化,避免類似事件再次發生。自此,該署已採取一系列措施包括強化私隱管理、全面檢視及加強處理個人資料的工作指引、加強員工培訓和對網上伺服器平台承辦商的監管,以及優化部門電腦支援系統,包括開發專用平台將個人資料儲存於該署伺服器內。若外判服務涉及處理個人資料,該署亦會在合約完結後提醒承辦商須在期限內刪除相關資料,並會主動查核承辦商以確認已完成刪除個人資料的工作。
記者:謝宗英