私隱署去年接4228宗投訴個案按年增23% 「起底」案跌三成
【點新聞報道】個人資料私隱專員公署今日(3日)發布2025年度工作報告。其中,涉及個人資料「起底」的個案數目較去年有明顯下降。公署介紹三宗因僱主疏忽而導致員工資料外洩的個案。私隱專員鍾麗玲呼籲僱主制定清晰的個人資料保障政策。
鍾麗玲指,有一宗特別案件是受害者及自己未成年孩子的相片及資料被印在T-Shirt上,由涉事者身穿並在住所周圍遊走。由於事件造成惡劣影響,該名人士被即時判處14日監禁。
年度工作數據
2025年,私隱專員公署共接獲4,228宗投訴個案,較2024年的3,431宗上升約23%。其中約90%(3,838宗)涉及私營機構或個別人士;其餘約10%(390宗)涉及公營機構或政府部門,比例與2024年相若。
公署同年接獲17,691宗公眾查詢,較2024年的18,125宗輕微下跌2%,平均每月處理近1,500宗查詢。在查詢內容中,有關收集及使用個人資料的事宜佔整體28%;其他主要類別包括公署的投訴處理政策(15%)、查閱及改正個人資料(6%)、僱傭相關個人資料處理(5%),以及閉路電視安裝與使用(5%)等。
此外,公署2025年接獲1,163宗涉及懷疑誘騙個人資料的查詢,與2024年的1,158宗大致持平。
在資料外洩事故通報方面,2025年共接獲246宗,其中79宗來自公營機構、167宗來自私營機構,較2024年的203宗增加21%。當中,學校及非牟利機構通報的事故佔92宗(佔全年總數37%)。事故原因包括黑客入侵、遺失文件或便攜式裝置、電郵/郵遞/傳真誤發、僱員違規、系統設定錯誤等。其中黑客入侵相關事故為81宗(佔33%),較2024年的61宗(佔當年30%)增加33%。
公署2025年進行了435次循規審查,較2024年的400次增加9%。
打擊「起底」行為成效顯著
《個人資料(私隱)條例》中打擊「起底」的條文於2021年10月8日生效,將「起底」行為刑事化,並賦權私隱專員以「一站式」方式處理相關案件,包括刑事調查、取證、檢控,以及向平台發出停止披露通知。
自條文生效日至2025年12月31日,公署累計處理3,634宗「起底」個案,向57個平台發出2,104份停止披露通知,涉及33,743個「起底」訊息。即使多數通知送達海外平台,整體遵從率仍超過96%。此外,公署成功移除250個用作「起底」的頻道。
2025年,公署主動巡查發現的「起底」個案為9宗,較2022年的1,134宗大幅下降超過99%;接獲的相關投訴為299宗,較2022年的630宗下降超過五成(53%)。公署認為,「起底」個案減少與社會氛圍趨向平和有關。
2025年,公署共處理308宗「起底」個案(包括接獲投訴及主動網上巡查發現),較2024年的442宗減少30%。其中299宗為接獲的投訴,涉及金錢糾紛(45%)及家人/感情糾紛(24%)為主要成因。
年內,公署就147宗「起底」個案展開刑事調查,並將47宗轉介警方跟進。共拘捕18人,其中67%透過社交媒體或即時通訊軟件「起底」,其餘33%涉及張貼單張、展示橫額等方式。公署亦向13個網上平台發出32份停止披露通知,涉及56個「起底」訊息,平台遵從率超過98%。
三宗僱主資料保安事故案例
公署早前介入三宗涉及個人資料保安的事故,涉事機構均為投訴人的僱主,因處理僱傭資料時出現缺失,導致個人資料被不當披露或外洩,違反《私隱條例》相關規定。
事故一:投訴人曾任職於一間保安服務公司,其上司將載有其身份證號碼的終止僱傭通知書發送至即時通訊軟件的工作群組,致資料外洩予其他員工。
事故二:一間酒店的保安主管將部門員工績效評核表存放於共用工作枱的未上鎖抽屜內,被投訴人(該部門員工)無意中查閱。
事故三:一間社福機構職員掃瞄投訴人解聘文件時,誤將檔案儲存於部門共用資料夾,使其他員工可查閱其個人資料。
根據《私隱條例》保障資料第3(1)及第4(1)原則,個人資料不得在未經同意下用於新目的,且資料使用者須採取切實步驟保障資料安全。公署已向三間機構發出執行通知或警告信,要求糾正及預防再犯。
私隱專員鍾麗玲呼籲僱主制定清晰的個人資料保障政策,避免因人為疏忽或意識不足導致資料外洩。她指出:「僱主應將保障員工個人資料私隱視為機構數據管治的重要一環,展現保障決心,並確保符合《私隱條例》規定,達至僱傭關係雙贏。」
公署向僱主提出五項建議
1. 引入「個人資料私隱管理系統」,制定清晰保安政策,將保障私隱納入機構核心價值,並由上而下推動相關文化;
2. 訂立完善工作流程及程序,定期提醒員工遵循;
3. 實施恒常監察機制,透過技術監察或定期巡查確保政策落實,並持續優化流程;
4. 提供針對性培訓,提升員工(尤其處理敏感資料者)的私隱保障意識與能力;
5. 積極與員工溝通,共同檢視涉及個人資料的工作流程,以制定更切合運作需要的政策、程序及培訓計劃。
(點新聞記者周傾芫報道)
