個人資料私隱專員公署(私隱專員公署)發表機電工程署個人資料外洩事故調查結果。私隱專員公署指,機電署沒有就相關個人資料保存期限制訂政策,亦未有清楚向承辦商提出刪除資料的要求,也沒有主動採取相應的行動刪除或跟進及查核承辦商刪除個人資料的工作,令相關個人資料外洩,做法未能符合《私隱條例》的要求,虧負公眾期望。
機電署在今年 4 月接獲私隱專員公署通知有資料外洩,涉及 14 座新冠狀病毒病強檢資料。私隱專員公署披露,外洩的資料包括超過 17,000 位受檢測人士的姓名、地址、香港身分證號碼、電話號碼、年齡、性別、有否接種新冠疫苗、是否核酸檢測陽性及確診日期等。這些資料儲存於 ArcGIS Online 雲端平台,及後被發現在機電署於 2023 年 2 月底終止使用該雲端平台後,公眾仍可在毋須輸入帳戶及密碼的情況下於該雲端平台網址瀏覽相關資料。
個人資料私隱專員(私隱專員)鍾麗玲認為機電署有多項缺失,導致外洩事件發生:
- 沒有就強檢行動所收集的個人資料保存期限制訂書面政策,為資料的存廢提供明確依據。
- 未有清楚向承辦商提出刪除相關資料的要求,即使機電署於 2022 年底知悉強檢行動告一段落,但於通知承辦商不再續約的過程中,並無明確向承辦商提出刪除涉事的個人資料的要求。
- 沒有自行主動刪除涉事的個人資料,特別是在 2022 年 12 月底通知承辦商不再續約,直至 2023 年 2 月底合約屆滿期間,雖然機電署仍有權限登入該電子表格平台管理當中的個人資料,但機電署只是等待與承辦商的相關合約結束,並無主動採取行動自行查核及刪除平台上的個人資料。
- 沒有適當跟進承辦商刪除資料,機電署只假定承辦商在相關合約結束後會自行採取行動,從沒有督促、查核或提醒承辦商刪除該電子表格平台上的個人資料,亦從沒有了解或監察承辦商有關行動的進度或成效。機電署作為資料使用者,不能只是被動地等待承辦商採取行動,或因信賴承辦商而不去查核其實際的工作情況。
因此,私隱專員裁定機電署違反兩項《私隱條例》規定,並要求機電署採取措施糾正違規事項,以及防止類似違規情況再次發生。
機電署回應裁定結果指,會致力建立一套更穩健的私隱保安框架和保障個人資料企業文化,包括加強私隱管理、全面檢視及加強處理個人資料的工作指引、加強員工培訓和對網上伺服器平台承辦商的監管,以及改善部門電腦支援系統,包括開發專用平台將個人資料儲存於本署伺服器內。若外判服務涉及處理個人資料,亦會在合約完結後提醒承辦商須在期限內刪除相關資料,並會主動查核承辦商以確認已完成刪除個人資料的工作。