1.7萬強檢者資料網上公開　機電署以為自動刪除　私隱署通知始知

機電工程署2022年收集了14幢大廈、1萬7千名強制檢測人士的個人資料，包括身份證號碼及住址，存放在承辦商雲端平台。到今年4月，私隱專員公署發現毋須輸入帳戶及密碼便能在雲端平台查閱資料。機電署收到公署通知後才得悉事件，並要求承辦商刪除資料。
公署裁定機電署違反《私隱條例》，指承辦商合約2023年2月完結，署方以為承辦商會自動刪除資料。公署批評署方既沒有清楚要求對方刪除，亦沒有自行刪除，虧負公眾合理期望，情況令人遺憾。

涉14幢強檢大廈　逾1.7萬人資料遭外泄

機電署在2022年3至7月執行了14次強檢行動，14座大廈的居民或訪客須進行2019冠狀病毒檢測。機電署向承辦商採購並使用雲端平台ArcGIS Online附設的電子表格平台，製作14張電子表格作記錄。每張表格均以強檢行動的目標樓宇命名，儲存在平台的數據儲存庫。

表格記載了1萬7千人名受檢測人士的個人資料，包括姓名、地址、香港身份證號碼、電話號碼、年齡、性別、有否接種新冠疫苗、是否核酸檢測陽性及確診日期等。

機電署經公署通知　始知資料毋須登入可被瀏覽

2022年12月底，機電署知悉強檢行動告一段落後，隨即通知承辦商合約於2023年2月底屆滿後，不再續約。

載有受檢市民資料的表格，一直儲存在雲端平台的相關網址，未有刪除，而且毋須輸入帳戶及密碼就能瀏覽。直至今年4月30日，私隱專員公署發現後通知機電署，機電署才得知資料外洩，立即要求承辦商刪除個人資料，翌日再向私隱專員公署通報。

為何毋須登入便可瀏覽資料，私隱專員鍾麗玲表示根據機電署，該批資料應該不准公開瀏覽，但翻查網址活動紀錄，部分日期的設定卻改為可供公眾瀏覽。由於機電署及承辦商對記錄的詮釋各有不同，故無法尋找改動原因。

▼2022年7月4日　黃大仙鳳德邨黛鳳樓圍封強檢▼

裁定機電署違反《私隱條例》　批沒訂保存期限的書面政策

私隱專員公署收到4宗投訴及4宗查詢，向機電署查訊5次後，總結機電署4項缺失，裁定違反《私隱條例》個人資料保存期限的規定，以及個人資料保安的規定。

機電署認為在合約屆滿後，電子表格平台的帳戶便會失效，有關資料亦會被承辦商自動刪除。私隱專員鍾麗玲指，機電署沒有就個人資料保存期限制訂書面政策，為資料的存廢提供明確依據。

由通知不續約至完約2個月　機電署沒主動刪除個資

公署又認為機電署由2022年12月底通知承辦商不再續約，直至翌年2月底合約屆滿，期間署方仍有權限登入平台，但沒有主動自行查核及刪除平台上的個人資料。機電署在通知承辦商不再續約的過程中，亦未有清楚要求刪除資料。直至今年得悉資料外洩，機電署即時要求承辦商移除資料，資料當晚已被移除。公署指由此可見，如果機電署及早處理，便能預防事件。

鍾麗玲又稱，機電署只是假定承辦商在合約結束後會自行採取行動，卻從沒有督促、查核或提醒承辦商刪除個人資料，亦從來沒有了解或監察承辦商有關行動的進度或成效。

鍾麗玲表示，正考慮加大《私隱條例》的罰則，並引入行政罰款機制，直接向涉事機構處罰。