網上外洩1.7萬強檢者資料　機電署：條款列明承辦商完約會刪除

機電工程署2022年收集了14幢大廈、逾1.7萬名強制檢測人士的個人資料，包括身份證號碼及住址，存放在承辦商雲端平台後，該資料遭外洩。私隱專員公署今日（9日）公布調查結果，裁定機電署違反《私隱條例》，指其未有清楚要求承辦商刪除資料，亦沒自行刪除，虧負公眾合理期望。
機電署回應表示，與承辦商的採購條款列明服務期完結後，承辦商會刪除相關資料，署方亦已清楚通知承辦商服務期於2023年2月底完結。署方已總結經驗，避免類似事件再次發生。

2022年，機電署將逾1.7萬名強制檢測人士的個人資料，包括身份證號碼及住址，存放在承辦商雲端平台ArcGIS Online附設的電子表格平台。同年12月底，機電署知悉強檢行動告一段落後，隨即通知承辦商合約於2023年2月底屆滿後，不再續約。

載有受檢市民資料的表格，一直儲存在雲端平台的相關網址，未有刪除，而且毋須輸入帳戶及密碼就能瀏覽。直至今年4月30日，私隱專員公署發現後通知機電署，署方才得知資料外洩，立即要求承辦商刪除個人資料，翌日再向私隱專員公署通報。
公署今日(9日)批評機電署沒自行刪除資料，亦沒有明確指示承辦商刪除，違反《私隱條例》規定。

機電署：條款列明完約後承辦商會刪除資料

機電署發新聞稿回應表示，就「圍封強檢」行動所涉及的網上伺服器平台服務，署方與該承辦商的採購條款內，已列明服務期完結後，承辦商會刪除相關資料，署方亦已清楚通知承辦商服務期2023年2月底完結。

機電署又指，今年4月30日知悉有關資料外洩後，一直採取積極及負責任的態度，向執法部門匯報相關個案，並配合公署的調查工作。由於署方留意到該承辦商的網上伺服器平台，同期都有其他個人資料外洩個案。署方即時向對方深入了解伺服器平台的運作詳情，確保資料已完全移除。

機電署：將開發專用平台　於署方伺服器儲存資料

署方已總結經驗，致力建立一套更穩健的私隱保安框架，避免類似事件再次發生。署方已採取一系列措施包括：強化私隱管理、全面檢視及加強處理個人資料的工作指引、加強員工培訓和對網上伺服器平台承辦商的監管，以及優化部門電腦支援系統，包括開發專用平台將個人資料儲存於署方伺服器內。

如果外判服務涉及處理個人資料，署方亦會在合約完結後提醒承辦商須在期限內刪除相關資料，以及主動查核承辦商以作確認。機電署會詳細審視報告內容，嚴肅跟進和採取適當行動，重申一直非常重視資訊安全和個人資料私隱，並已制定指引定期向同事傳閱。

接連有政府部門資料外泄，機電工程署、消防處及市區重建局均使用網上平台ArcGIS Online。香港資訊科技商會榮譽會長方保僑質疑平台存在私隱漏洞，使用者將資料上載到平台後，會一併放到平台的地圖中，導致資料外洩。他期望私隱專員公署立法規管雲端服務供應商，令平台設計保障使用者私隱。