洩逾1.7萬市民資料 機電署揭4大漏招
保存期限無訂對策 有負公眾合理期望
個人資料私隱專員公署於今年4月底發現,機電工程署一個網上伺服器平台資料外洩,涉及前年疫情期間被圍封強檢的14幢大廈、逾1.7萬名市民的個人資料。公署昨發表事故調查報告,揭機電署涉4大缺失,包括未就涉事個人資料保存期限制訂政策等,有負公眾合理期望,裁定機電署違反《個人資料(私隱)條例》。機電署回應調查報告,指會詳細審視報告內容,並會嚴肅跟進和採取適當行動。
根據公署報告,機電署在2022年3至7月,對14座大廈的居民或訪客進行強檢,並向承辦商採購及使用雲端平台ArcGIS Online附設的電子表格平台,記錄受檢者的個人資料,包括姓名、地址、香港身份證號碼及電話號碼等。直至今年4月,公署接獲市民反映,指其個人資料可在毋須輸入帳戶及密碼的情況下被查閱。報告指出,機電署原先認為在合約屆滿後,該電子表格平台的帳戶便會失效,而有關資料亦會被承辦商自動刪除。
個人資料私隱專員鍾麗玲批評,機電署在事件中存在4項主要缺失,包括沒有就強檢行動所收集的個人資料保存期限制訂書面政策、沒有清楚向承辦商提出刪除資料的要求、沒有主動刪除涉事的個人資料,以及沒有適當跟進及查核承辦商刪除資料的工作。
私隱署發執行通知促糾正
該些缺失令相關個人資料被不必要地暴露於資料外洩的風險中,做法明顯未能符合《個人資料(私隱)條例》的要求,亦虧負公眾的合理期望,情況令人遺憾。私隱專員已向機電署送達執行通知,指示其採取措施糾正違規事項,防止類似違規情況再次發生。
機電署回應公署調查報告,指會詳細審視報告內容,並會嚴肅跟進和採取適當行動。署方已採取一系列措施,包括強化私隱管理、全面檢視及加強處理個人資料的工作指引、加強員工培訓和對網上伺服器平台承辦商的監管,以及優化部門電腦支援系統,包括開發專用平台將個人資料儲存於署方伺服器內。署方指出,若外判服務涉及處理個人資料,署方亦會在合約完結後提醒承辦商須在期限內刪除相關資料,並會主動查核承辦商,以確認已完成刪除個人資料的工作。
人人做記者
爆料方法 :
爆料熱線:
(852) 3600 3600
傳 真:
(852) 3600 8800
SMS:
(852) 6500 6500