(獨媒報導)機電工程署今年5月發生資料外洩,涉及在2022年3月至7月期間,逾1.7萬名市民就新冠病毒作「圍封強檢」的14幢公屋大廈的個人資料。個人資料私隱專員鍾麗玲指機電署犯下四項缺失,包括沒有就個人資料保存期限制定政策,亦未有清楚向承辦商提出刪除資料要求,在完成強檢行動後更沒有主動採取相應行動刪除,或跟進及查核承辦商刪除相關資料的工作,裁定違反《私隱條例》,兼虧負公眾合理期望,形容情況令人遺憾。

市民通報揭發事件 機電署要求承辦商移除個人資料

私隱專員公署今早舉行記者會,交代機電工程署個人資料外洩事故。今次事件源於有市民在今年4月底,向私隱專員公署通報,稱在ArcGIS Online 雲端平台輸入「受檢測人士資料」字眼作搜尋,便可找到相關資料。

公署在4月30日通知機電署,指其強檢行動中受檢測市民的個人資料,已可在毋須輸入帳戶及密碼的情況下,在ArcGIS Online雲端平台的相關網址被瀏覽。機電署此時才知道市民的個人資料外洩,遂要求承辦商當晚從該電子表格平台中移除涉事的個人資料,在5月1日再向公署通報資料外洩事故,表示懷疑由其持有的市民個人資料外洩。

1F
個人資料私隱專員鍾麗玲

涉及14幢公屋大廈 包括市民詳細個人資料

公署及後就資料外洩事件向機電署進行5次查訊,及2次去信承辦商,要求提供相關資料。外洩的資料涉及機電署在2022年3月至7月期間的14次圍封強檢行動,涉及14幢大廈的居民或訪客就新冠病毒作檢測。

14幢大廈均屬公屋單位,包括德朗邨德榮樓、啟晴邨欣晴樓、友愛邨愛明樓、富昌邨富良樓、湖景邨湖暉樓、蝴蝶邨蝶影樓、安達邨善達樓、東頭(二)邨偉東樓、廣福邨廣惠樓、博康邨博逸樓、祥華邨祥豐樓、明德邨明道樓、元州邨元盛樓及鳳德邨黛鳳樓,涉及逾1.7萬名市民個人資料。

機電署確認外洩事件涉及14張電子表格,每張電子表格均以強檢行動的目標樓宇命名。而外洩的個人資訊包括姓名、地址、身份證號碼、電話號碼、年齡、性別、有否接種新冠疫苗、是否核酸檢測陽性及確診日期等,個人資料私隱專員鍾麗玲形容為「相當多」,並且是敏感性的個人資料,地址更詳細至包括樓層、座數和單位。

私隱專員:機電署未有就個人資料保存期限訂書面政策

調查顯示,機電署向承辦商採購及使用雲端平台ArcGIS Online附設的電子表格平台製作了14張電子表格作紀錄,相關電子表格及資料會被儲存在 ArcGIS Online雲端平台的數據儲存庫中。機電署在2022年12月底知悉強檢行動告一段落,遂通知承辦商在2023年2月底,即合約屆滿後不再就該電子表格平台服務續約,認為該帳戶便會失效,相關儲存的個人資料亦會自動被承辦商移除。

私隱專員鍾麗玲批評,機電署犯下四項缺失,包括沒有就強檢行動所收集的個人資料保存期限制定書面政策,亦未有清楚向承辦商提出刪除相關資料的要求,及沒有自行主動刪除涉事的個人資料,更沒有適當跟進承辦商刪除資料。

批機電署從沒督促承辦商刪除資料 屬明顯缺失

針對四項缺失,鍾麗玲稱理解強檢行動中的通知及準備時間有限,機電署或未能在行動展開之前或期間訂立收集個人資料保存期限的書面政策,但署方卻從沒有透過書面政策制定資料的保存期限,更未有明確向承辦商提出刪除相關資料的要求。

此外,鍾麗玲亦斥責機電署,在2022年12月底通知承辦商不再續約至2023年2月底合約屆滿期間,即仍有權限登入該電子表格平台管理個人資料,卻沒有採取行動自行刪除資料,屬於明顯缺失。鍾麗玲同提到,機電署作為資料使用者,從沒有督促、查核或提醒承辦商刪除相關個人資料,強調不能只被動地等待承辦商採取行動,或因信賴承辦商而不去查核對方實際的工作情況,同屬明顯缺失。

發出四項執行通知 須確認刪除資料責任誰屬

私隱專員已向機電署發出四項執行通知,包括要求機電署就使用第三方供應商處理個人資料方面制定書面政策或指引,包括與供應商確認定立個人資料保存期限的安排,並與供應商確認刪除資料方面的安排,即刪除資料的責任誰屬。

公署表示,如刪除資料的責任全部或部份在機電署,需包括同時制定執行刪除資料的程序;在保存期限屆滿後,應查核並確保供應商或署方,實際上已刪除有關資料,並要書面通知職員遵從相關政策或指引等。

機電署:已強化私隱管理 日後會主動查核承辦商

機電署回應指,於今年4月尾知悉有關資料外洩後,一直配合公署的調查工作,並即時向該承辦商深入了解伺服器平台的運作詳情,確保有關資料已完全被移除。

署方稱,在是次事件後已強化私隱管理,包括全面檢視及加強處理個人資料的工作指引、加強員工培訓和對網上伺服器平台承辦商的監管、開發專用平台將個人資料儲存於機電署伺服器內。若外判服務涉及處理個人資料,署方亦會在合約完結後提醒承辦商須在期限內刪除相關資料,並會主動查核承辦商以確認已完成刪除個人資料的工作。