私隱專員完成調查兩宗選舉事務處洩私隱個案 裁定違規促糾正

撰文:文維廣
出版:更新:

個人資料私隱專員公署今日(29日)公布,完成兩宗選舉事務處涉個人資料外洩事故調查,認為兩宗個案皆涉及人為錯誤及缺乏資料保障意識,裁定選舉事務處違反《個人資料(私隱)條例》有關個人資料保安的規定。

私隱專員已向選舉事務處送達兩份執行通知,指示選舉事務處糾正及防止有關違規情況再發生,包括要求選舉事務處採取技術性保安措施管控電郵系統的使用,檢視並改善收集選委個人資料及發送大量附有個人資料的電郵的工作流程,及加強資訊保安及個人資料保障的培訓等。選委事務處接納調查報告,承護會採取執行通知所指明的步驟及跟進報告所提出的建議,防止同類事件再次發生。

兩宗個案分別發生於今年三月二十三日及四月二十八日。私隱專員指,三月的個案發生之時正值第五波疫情肆虐,當時選舉事務處作出特別在家工作安排,把職員分成不同組別交替在家工作,以減少社交接觸。涉案的文書主任獲安排在某些日子在家工作。

今年3月23日晚上7時左右,該文書主任擬把兩個載有約15,000名選民登記資料,包括中英文姓名及住址資料的試算表檔案,傳送至其私人電郵帳戶,卻輸入錯誤電郵地址,導致該兩個檔案被傳送至不明收件人。

第二宗個案則在準備舉行行政長官選舉時發生。選舉事務處計劃於4月27日發送測試短訊或電郵,給已提供流動電話號碼或電郵地址的選委及其助理,確保他們能接收與選舉有關的資訊。

選舉事務處在收到選委及其助理提供的聯絡資料回條後,以人手將回條上涉及約1,800名選委及其助理的資料輸入至一份電腦資料總表。但於計劃發送測試電郵當日即4月27日作出多次核對後,仍發現該資料總表存在不準確資料,負責監督是次發送測試電郵的高級項目主任遂指示職員分批次核對電郵地址及發送測試電郵。

及後為加快程序,該高級項目主任指示自第四批次起,可省略第二次檢查。結果,翌日早上,職員覆核已發出的測試電郵時,發現一個發送予38名選委及26名選委助理的電郵,錯誤夾附一名選委及其助理個人資料的回條,當中載有該名選委及其助理的姓名、電郵地址、電話號碼,及該名選委的簽署。

私隱專員:選舉事務處未採切實可行驟保障私隱

私隱專員鍾麗玲認為,兩宗個案突顯選舉事務處沒有採取所有切實可行的步驟,以確保個人資料受到保障,而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而裁定選舉事務處違反了《個人資料(私隱)條例》保障資料第 4(1)原則有關個人資料保安的規定。」

選舉事務處接內私隱專員的調查報告,強調一向十分重視保障個人資料,致力遵守《個人資料(私隱)條例》及個人資料私隱專員公署和政府資訊科技總監辦公室發出的守則及指引,已制訂清晰及嚴格的部門指引小心處理個人資料。