資料外洩|機電署洩逾1.7萬強檢市民資料 私隱署斥涉4大缺失負期望
撰文: 梁薾心
發布時間: 2024/12/09 11:28
最後更新: 2024/12/09 15:51
▲ 機電署洩逾1.7萬強檢市民資料。
【機電署 / 私隱專員公署 / 強檢】機電署今年5月發生資料外洩事故,涉14張電子表格,逾1.7萬人受影響。個人資料私隱專員公署今日(9日)發表事故調查報告,揭機電署涉4大缺失。個人資料私隱專員向機電署送達執行通知指示糾正。
根據公署調查所得,機電署在2022年3至7月期間,對14座大廈的居民或訪客進行強檢,並向承辦商採購及使用雲端平台ArcGIS Online附設的電子表格平台,製作了14張電子表格作記錄,相關資料被儲存在ArcGIS Online數據儲存庫。
同年12月底,強檢行動告一段落,署方通知承辦商,於去年2月底合約屆滿後,不再就電子表格平台服務續約。至去年4月底,逾1.7萬各曾接受相關強檢的市民個人資料,包括姓名、地址、核酸檢測結果等,被揭在毋需輸入帳戶及密碼的情況下,於ArcGIS Online的相關網址被瀏覽。
由4大缺失導致料 情況令人遺憾
鍾麗玲直言事故由4大缺失導致,包括署方在合約屆滿前,即使有權限登入電子表格平台,管理當中個人資料,但只等待合約結束,未有主動自行查核及剷除資料,以避免不必要或過長保存,形容屬「明顯缺失。」
她續指,機電署只假定承辦商在合約結束後,會自行採取行動,沒督促、查核或提醒對方剷除資料,亦沒有了解或監察有關行動的進度或成效,為另一明顯缺失。另機電署沒就強檢所收集的個人資料保存限期制定書面政策;且於2022年通知承辦商不再續約的過程中,並無明確提出刪除有關個人資料的要求。
鍾麗玲形容,面對嚴峻疫情,參與檢疫工作的部門需迅速部署並執行行動,「好似打仗一樣」,理解機電署在籌劃及展開強檢行動時,或未及考慮日後刪除個人資料的政策和安排。惟署方之後亦一直沒就涉事個人資料保存期限制訂政策、提出刪除要求或主動刪除,以及跟進及查核相關工作,令有關資料被不必要地暴露於資料外洩風險中,虧負了公眾合理期望,情況令人遺憾。
她又稱,機電署翻看2022年7月至今年4月平台的活動記錄(Activity Log),發現紀錄不齊全,無法得知瀏覽權限改為公開的成因,機電署和承辦商對有關記錄的詮釋亦不同。但認為問題癥結是機電署為何在強檢結束後,未在合理時間內刪除資料。
她認為機電署沒採取所有切實可行的步驟以確保涉事個人資料受保障,因而違反《個人資料(私隱)條例》保障資料第2(2)及4(1)原則,有關個人資料保存限期及保安的規定,上周五(6日)已送達執行通知指示糾正。機電署須由執行通知日期起計兩個月內完成。
公署至今就事件收到4宗查詢及4宗投訴。
機電署:會嚴肅跟進和採取適當行動
機電署回應時表示,會詳細審視私隱專員公署的報告內容,並嚴肅跟進和採取適當行動;且強調一直非常重視資訊安全和個人資料私隱,已制定相關政策指引,包括個人資料保存期限制,定期向同事傳閱。
機電署又稱,已採取一系列措施,包括加強私隱管理、全面檢視及加強處理個人資料的工作指引、加強員工培訓和對網上伺服器平台承辦商的監管;亦會在合約完結後,提醒承辦商須在期限內刪除相關資料,並主動查核承辦商,以確認已完成刪除個人資料工作。
最新影片推介:
🎓全新TOPSchool全港中小學校搜尋器,入HKET App即睇!
下載HKET App,追蹤TOPick WhatsApp頻道,睇全方位資訊:
記者:梁薾心
