機電署外洩1.7萬名強檢市民資料 私隱公署裁定違例
【點新聞報道】機電工程署一個存放約1.7萬名市民個人資料的特定網上伺服器平台,早前被發現毋須輸入密碼都可瀏覽。私隱專員公署今日(9日)發表關於機電工程署個人資料外洩事故的調查結果。私隱專員鍾麗玲指出,機電署沒有採取所有切實可行的步驟,以確保個人資料的保存時間不超過使用該資料實際所需的時間,以及確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因此違反《私隱條例》有關規定。私隱專員已向機電署送達執行通知,指示其採取措施糾正違規事項,以及防止類似違規情況再次發生。
機電署在2022年3至7月期間共執行了14次強檢行動,對分別處於14座大廈內的居民/訪客進行新冠病毒檢測。為收集強檢行動中受檢測市民的資料,機電署向承辦商採購並使用雲端平台ArcGIS Online附設的電子表格平台,製作14張電子表格作記錄,而相關的電子表格及資料會被儲存在ArcGIS Online雲端平台數據儲存庫中。機電署於2022年底知悉強檢行動告一段落後,隨即通知有關承辦商於2023年2月底合約屆滿後不再就該電子表格平台的服務續約。
機電署認為,在合約屆滿後,該電子表格平台的賬戶便會失效,而有關資料亦會被承辦商自動刪除。直至2024年4月30日,經私隱專員公署通知機電署,機電署才得知強檢行動中受檢測市民的個人資料可在毋須輸入賬戶及密碼的情況下在ArcGIS Online雲端平台的相關網址被瀏覽,遂立即要求承辦商同日從該電子表格平台中移除涉事的個人資料,令公眾不能再瀏覽有關資料,並於翌日向私隱專員公署通報。隨後機電署於5月1日向私隱專員公署通報資料外洩事故,表示懷疑由其持有的市民個人資料外洩。據調查,受外洩事件影響的受檢測人士數目超過17000人,所涉及的個人資料包括姓名、地址、香港身份證號碼、電話號碼、年齡、性別、有否接種新冠疫苗、是否核酸檢測陽性及確診日期等。
私隱專員公署就外洩事件向機電署進行了五次查訊,亦兩度去信要求承辦商就外洩事件提供相關資料。鍾麗玲認為,機電署沒有就強檢行動所收集的個人資料保存期限制訂書面政策,為資料的存廢提供明確依據,由始至終僅依靠於2022年底已通知承辦商不再續約,作為實際上已為資料設定保存期限的根據,卻一直沒有透過書面政策訂定上述資料的保存期限。有關的書面政策可為資料的存廢提供明確依據,有其重要作用。
特別在本個案中,所涉的資料屬敏感的個人資料,機電署更應對有關資料的處理提高警覺、格外小心。此外,機電署未有清楚向承辦商提出刪除相關資料的要求,且沒有自行主動刪除涉事的個人資料及沒有適當跟進承辦商刪除資料,強調機電署作為資料使用者,不能只是被動地等待承辦商採取行動,或因信賴承辦商而不去查核其實際的工作情況,此屬另一明顯缺失。
私隱專員鍾麗玲裁定機電署:一、沒有採取所有切實可行的步驟,以確保個人資料的保存時間不超過使用該資料實際所需的時間,因此違反了《私隱條例》的保障資料第2(2)原則有關個人資料保存期限的規定;二、沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反了《私隱條例》的保障資料第4(1)原則有關個人資料保安的規定。私隱專員已向機電署送達執行通知,指示其採取措施糾正違規事項,以及防止類似違規情況再次發生。
(點新聞記者李九歌報道)
更多閱讀: