泄围封强检新冠病毒资料　私隐署批机电署违例负公众期望

个人资料私隐专员公署，完成调查机电工程署网上服务器平台资料外泄事件，裁定机电署有4项缺失，违反《个人资料(私隐)条例》，指署方做法明显未能符合相关条例要求，亏负公众合理期望，情况令人遗憾。

私隐专员公署今年4月底发现，涉事平台泄漏前年疫情期间被围封强检的14幢大厦、逾1.7万名市民的个人资料，包括姓名、含有座数、楼层和单位的完整地址、身分证号码、电话号码、年龄、性别、有否接种新冠疫苗、是否核酸检测阳性，以及确诊日期等。

公署上周五已向机电署发出执行通知，要求署方使用第三方供应商或承办商处理个人资料时，要制订书面政策及指引，包括与供应商确认，订立个人资料保存期限，以及删除资料的安排，厘清责任谁属；若责任在于署方，应同时制订执行删除资料的程序，保存期限届满后，亦要查核及确保供应商或署方，实际上已经删除资料。公署亦要求机电署在2个月内提交文件，证明已实施有关措施。

个人资料私隐专员钟丽玲引述调查结果表示，涉事的14次围封强检行动在前年3至7月进行，机电署同年12月底通知服务承办商，指双方的合约在去年2月底届满后不再续约；机电署当时认为，约满后电子表格平台帐户就会失效，当中储存的个人资料亦会自动被承办商移除。

钟丽玲指，机电署的4项缺失，包括未有就个人资料保存期间制订书面政策、未有清楚向承办商提出删除相关资料的要求、没有主动删除相关个人资料，以及没有适当跟进承办商删除资料的工作。她说，机电署从没督促、查核或提醒承办商删除资料，亦从没了解或监察承办商有关行动的进度，强调署方不能被动等承办商采取行动，或因信赖承办商，而不查核实际工作情况及进度，因此构成明显缺失。

钟丽玲又说，理解面对严峻的疫情，参与围封强检的部门需迅速部署及执行相关行动，形容情况有如“打仗”，由于时间紧迫，机电署筹划及展开行动时，可能未及考虑日后删除资料的政策及有关安排；但由行动结束到发现资料泄漏的一段合理时间内，署方亦未有主动采取相应行动删除资料，或跟进和查核承办商删除资料的工作，令市民个人资料被不必要地曝露在外泄风险中。

被问到涉事个人资料外泄的情况维持了多久，钟丽玲回应指，这是调查方向之一，但由于涉事服务器平台的活动纪录并不齐全，导致公署、机电署和承办商都无法追查事件确实原因，只是看到在某些日期，资料设定由本来需要输入帐户和密码，改为可供公众查询。她又引述机电署指，署方难以理解为何未能追查成因。

钟丽玲又表示，目前《个人资料(私隐)条例》只赋权私隐公署进行调查，了解资料使用者有否违规，并赋权公署发出执行通知，一旦没有遵守通知、构成刑事罪行，公署才可考虑提出检控。她说，条例未有赋权公署直接处以行政罚款，但公署已建议立法会修例，加强罚则。

机电署回应指，会详细审视公署报告内容，并严肃跟进和采取适当行动。发言人说，机电署一直非常重视资讯安全和个人资料私隐，并已制订相关政策指引，包括个人资料保存期限，并定期向同事传阅。署方表示，得悉今次事件后，一直采取积极和负责任态度，向执法部门汇报，并配合公署调查；而因应涉事平台同期亦出现其他资料外泄个案，机电署已即时向承办商深入了解平台运作详情，确保已完全移除有关资料。

机电署表示，已总结经验，并致力建立一套更稳健的私隐保安框架，以及保障个人资料企业文化，避免类似事件再发生；一系列措施包括强化私隐管理、全面检视及加强处理个人资料的工作指引、加强员工培训和监管承办商，以及优化部门电脑支援系统，包括开发专用平台，将个人资料储存在机电署服务器内。

署方又指，若外判服务涉及处理个人资料，署方会在合约完结后，提醒承办商须在期限内删除相关资料，及主动查核，确认已完成删除。