私隐外泄︱疫情围封强检近2万市民个资外泄 私隐署批违私隐例 机电署: 会严肃跟进
2024-12-09 11:32 
【私隐外泄/个人资料/围封强检】个人资料私隐专员公署今日(9日)发表两份调查结果,第一份是关于机电工程署个人资料外泄事故,第二份是关于雇主透过网上招聘平台 JobsDB刊登匿名招聘广告的个案。其中,机电工程署在前年新冠疫情期间协助「围封强检行动」,有受检测人士的个人资料,包括姓名、地址、身份证号码及电话号码等怀疑外泄,涉及超过17,000人。
私隐外泄︱机电署回应 : 会严肃跟进和采取适当行动
机电署回应时表示,会详细审视报告内容,并会严肃跟进和采取适当行动。该署已采取一系列措施包括强化私隐管理、全面检视及加强处理个人资料的工作指引、加强员工培训和对网上伺服器平台承办商的监管,以及优化部门电脑支援系统,包括开发专用平台将个人资料储存于该署伺服器内。
私隐外泄︱机电署协助执行14次围封行动
私隐公署解释,2022年3月至7月,机电工程署协助执行了14次围封行动,其中使用一个云端平台的电子表格,纪录了受检查市民的个人资料,包括姓名、完整地址(包括楼层、座数、单位)、身份证号码、电话号码、年龄、性别、有没有接种过新冠疫苗、确诊纪录等。
私隐外泄︱做法明显不符《私隐条例》要求 有负公众合理期望
不过公署在今年4月接获市民反映,指其个人资料可以在该平台上搜寻得到。公署立即通知机电署,后者发现事件后通知承办商,有关资料即日被删除。
报告指出,机电署原先认为在合约届满后,该电子平台的帐户会失效,有关资料亦会自动删除。
私隐公署批评,机电署在事件中有4项缺失,没有就强检行动收集的个人资料保存期限制订书面政策、没有向承办商提出删除资料的要求、没有主动删除涉事个人资料、没有适切跟进删除资料的情况。公署裁定机电署没有采取所有切实可行步骤,以确保保存时间不超过使用实际所需时间,亦没有采取所有切实可行的步骤,以确保涉事的个人资料受保障而不受未获准许或意外的查阅等,违反《私隐条例》规定。该署认为,机电署有负公众的合理期望,令人遗憾。
私隐专员锺丽玲表示,理解参与检疫工作的部门,需要迅速部署并执行行动,由于时间紧迫,机电署在筹划及展开强检行动时或许未及考虑日后删除个人资料的政策和安排。可是,她认为做法明显未能符合《私隐条例》要求,有负公众的合理期望,令人遗憾。
私隐公署已向机电署送达执行通知,指示采取措施纠正违规事项,防止类似违规情况再发生。
私隐外泄︱机电署:详细审视报告 严肃跟进和采取适当行动
至于就「围封强检」行动所涉及的网上伺服器平台服务,机电署称与该承办商的采购条款内,已列明于服务期完结后,承办商会删除相关资料;而该署亦已清楚通知承办商服务期于2023年2月底完结。该署于今年4月30日知悉有关资料外泄后,一直采取积极及负责任的态度,向执法部门汇报相关个案,并配合公署的调查工作。由于该署留意到公署早前公布该承办商提供的网上伺服器平台,于同期均出现其他个人资料外泄的个案,该署亦即时向该承办商深入了解伺服器平台的运作详情,确保有关资料已完全被移除。
就是次事件,机电署已总结经验,并致力建立一套更稳健的私隐保安框架和保障个人资料企业文化,避免类似事件再次发生。自此,该署已采取一系列措施包括强化私隐管理、全面检视及加强处理个人资料的工作指引、加强员工培训和对网上伺服器平台承办商的监管,以及优化部门电脑支援系统,包括开发专用平台将个人资料储存于该署伺服器内。若外判服务涉及处理个人资料,该署亦会在合约完结后提醒承办商须在期限内删除相关资料,并会主动查核承办商以确认已完成删除个人资料的工作。
记者:谢宗英
最新回应