洩圍封強檢新冠病毒資料　私隱署批機電署違例負公眾期望

個人資料私隱專員公署，完成調查機電工程署網上伺服器平台資料外洩事件，裁定機電署有4項缺失，違反《個人資料(私隱)條例》，指署方做法明顯未能符合相關條例要求，虧負公眾合理期望，情況令人遺憾。

私隱專員公署今年4月底發現，涉事平台洩漏前年疫情期間被圍封強檢的14幢大廈、逾1.7萬名市民的個人資料，包括姓名、含有座數、樓層和單位的完整地址、身分證號碼、電話號碼、年齡、性別、有否接種新冠疫苗、是否核酸檢測陽性，以及確診日期等。

公署上周五已向機電署發出執行通知，要求署方使用第三方供應商或承辦商處理個人資料時，要制訂書面政策及指引，包括與供應商確認，訂立個人資料保存期限，以及刪除資料的安排，釐清責任誰屬；若責任在於署方，應同時制訂執行刪除資料的程序，保存期限屆滿後，亦要查核及確保供應商或署方，實際上已經刪除資料。公署亦要求機電署在2個月內提交文件，證明已實施有關措施。

個人資料私隱專員鍾麗玲引述調查結果表示，涉事的14次圍封強檢行動在前年3至7月進行，機電署同年12月底通知服務承辦商，指雙方的合約在去年2月底屆滿後不再續約；機電署當時認為，約滿後電子表格平台帳戶就會失效，當中儲存的個人資料亦會自動被承辦商移除。

鍾麗玲指，機電署的4項缺失，包括未有就個人資料保存期間制訂書面政策、未有清楚向承辦商提出刪除相關資料的要求、沒有主動刪除相關個人資料，以及沒有適當跟進承辦商刪除資料的工作。她說，機電署從沒督促、查核或提醒承辦商刪除資料，亦從沒了解或監察承辦商有關行動的進度，強調署方不能被動等承辦商採取行動，或因信賴承辦商，而不查核實際工作情況及進度，因此構成明顯缺失。

鍾麗玲又說，理解面對嚴峻的疫情，參與圍封強檢的部門需迅速部署及執行相關行動，形容情況有如「打仗」，由於時間緊迫，機電署籌劃及展開行動時，可能未及考慮日後刪除資料的政策及有關安排；但由行動結束到發現資料洩漏的一段合理時間內，署方亦未有主動採取相應行動刪除資料，或跟進和查核承辦商刪除資料的工作，令市民個人資料被不必要地曝露在外洩風險中。

被問到涉事個人資料外洩的情況維持了多久，鍾麗玲回應指，這是調查方向之一，但由於涉事伺服器平台的活動紀錄並不齊全，導致公署、機電署和承辦商都無法追查事件確實原因，只是看到在某些日期，資料設定由本來需要輸入帳戶和密碼，改為可供公眾查詢。她又引述機電署指，署方難以理解為何未能追查成因。

鍾麗玲又表示，目前《個人資料(私隱)條例》只賦權私隱公署進行調查，了解資料使用者有否違規，並賦權公署發出執行通知，一旦沒有遵守通知、構成刑事罪行，公署才可考慮提出檢控。她說，條例未有賦權公署直接處以行政罰款，但公署已建議立法會修例，加強罰則。

機電署回應指，會詳細審視公署報告內容，並嚴肅跟進和採取適當行動。發言人說，機電署一直非常重視資訊安全和個人資料私隱，並已制訂相關政策指引，包括個人資料保存期限，並定期向同事傳閱。署方表示，得悉今次事件後，一直採取積極和負責任態度，向執法部門匯報，並配合公署調查；而因應涉事平台同期亦出現其他資料外洩個案，機電署已即時向承辦商深入了解平台運作詳情，確保已完全移除有關資料。

機電署表示，已總結經驗，並致力建立一套更穩健的私隱保安框架，以及保障個人資料企業文化，避免類似事件再發生；一系列措施包括強化私隱管理、全面檢視及加強處理個人資料的工作指引、加強員工培訓和監管承辦商，以及優化部門電腦支援系統，包括開發專用平台，將個人資料儲存在機電署伺服器內。

署方又指，若外判服務涉及處理個人資料，署方會在合約完結後，提醒承辦商須在期限內刪除相關資料，及主動查核，確認已完成刪除。