1.7萬強檢者資料網上公開 機電署以為自動刪除 私隱署通知始知

撰文:任葆穎
出版:更新:

機電工程署2022年收集了14幢大廈、1萬7千名強制檢測人士的個人資料,包括身份證號碼及住址,存放在承辦商雲端平台。到今年4月,私隱專員公署發現毋須輸入帳戶及密碼便能在雲端平台查閱資料。機電署收到公署通知後才得悉事件,並要求承辦商刪除資料。
公署裁定機電署違反《私隱條例》,指承辦商合約2023年2月完結,署方以為承辦商會自動刪除資料。公署批評署方既沒有清楚要求對方刪除,亦沒有自行刪除,虧負公眾合理期望,情況令人遺憾。

私隱專員公署今日(9日)公布機電署個人資料外洩事故的調查結果。(盧翊銘攝)

涉14幢強檢大廈 逾1.7萬人資料遭外泄

機電署在2022年3至7月執行了14次強檢行動,14座大廈的居民或訪客須進行2019冠狀病毒檢測。機電署向承辦商採購並使用雲端平台ArcGIS Online附設的電子表格平台,製作14張電子表格作記錄。每張表格均以強檢行動的目標樓宇命名,儲存在平台的數據儲存庫。

表格記載了1萬7千人名受檢測人士的個人資料,包括姓名、地址、香港身份證號碼、電話號碼、年齡、性別、有否接種新冠疫苗、是否核酸檢測陽性及確診日期等。

(私隱專員公署提供)

機電署經公署通知 始知資料毋須登入可被瀏覽

2022年12月底,機電署知悉強檢行動告一段落後,隨即通知承辦商合約於2023年2月底屆滿後,不再續約。

載有受檢市民資料的表格,一直儲存在雲端平台的相關網址,未有刪除,而且毋須輸入帳戶及密碼就能瀏覽。直至今年4月30日,私隱專員公署發現後通知機電署,機電署才得知資料外洩,立即要求承辦商刪除個人資料,翌日再向私隱專員公署通報。

為何毋須登入便可瀏覽資料,私隱專員鍾麗玲表示根據機電署,該批資料應該不准公開瀏覽,但翻查網址活動紀錄,部分日期的設定卻改為可供公眾瀏覽。由於機電署及承辦商對記錄的詮釋各有不同,故無法尋找改動原因。

▼2022年7月4日 黃大仙鳳德邨黛鳳樓圍封強檢▼

+1

裁定機電署違反《私隱條例》 批沒訂保存期限的書面政策

私隱專員公署收到4宗投訴及4宗查詢,向機電署查訊5次後,總結機電署4項缺失,裁定違反《私隱條例》個人資料保存期限的規定,以及個人資料保安的規定。

機電署認為在合約屆滿後,電子表格平台的帳戶便會失效,有關資料亦會被承辦商自動刪除。私隱專員鍾麗玲指,機電署沒有就個人資料保存期限制訂書面政策,為資料的存廢提供明確依據。

由通知不續約至完約2個月 機電署沒主動刪除個資

公署又認為機電署由2022年12月底通知承辦商不再續約,直至翌年2月底合約屆滿,期間署方仍有權限登入平台,但沒有主動自行查核及刪除平台上的個人資料。機電署在通知承辦商不再續約的過程中,亦未有清楚要求刪除資料。直至今年得悉資料外洩,機電署即時要求承辦商移除資料,資料當晚已被移除。公署指由此可見,如果機電署及早處理,便能預防事件。

鍾麗玲又稱,機電署只是假定承辦商在合約結束後會自行採取行動,卻從沒有督促、查核或提醒承辦商刪除個人資料,亦從來沒有了解或監察承辦商有關行動的進度或成效。

鍾麗玲表示,正考慮加大《私隱條例》的罰則,並引入行政罰款機制,直接向涉事機構處罰。