公布機電工程署個人資料外洩事故調查結果,懷疑外洩的個人資料涉及前年疫情期間「強檢行動」中受檢測人士的個人資料,包括姓名、地址、身份證號碼及電話號碼等,涉及超過17000人。公署裁定機電署沒有採取所有切實可行步驟,以確保保存時間不超過使用實際所需時間,亦沒有採取所有切實可行的步驟,以確保涉事的個人資料受保障而不受未獲准許或意外的查閱等,違反《私隱條例》規定。
機電署
報告提到,機電署於2022年3至7月執行14次強檢行動,之後將資料上載到雲端平台。今年4月,發現相關資料可以在毋須輸入帳戶及密碼的情況下,在雲端平台被瀏覽,署方同日要求承辦商從平台中移除有關資料並向公署通報。報告指出,機電署認為在合約屆滿後,該電子平台的帳戶會失效,有關資料亦會自動刪除。
香港個人資料私隱專員公署FB圖片
私隱專員鍾麗玲認為,事件主因包括機電署的沒有就相關個人資料保存期限制訂書面政策,為資料的存廢提供明確依據,亦未有清楚向承辦商提出刪除相關資料的要求。她說,做法明顯未能符合《私隱條例》要求,有負公眾的合理期望,令人遺憾。
私隱專員已向機電署送達執行通知,指示採取措施糾正違規事項,防止類似違規情況再發生。
香港兆基創意書院及香港專業進修學校去年分別發生涉及黑客入侵的資料外洩事故,私隱專員公署完成視察兩間教育機構的個人資料系統。私隱專員認為整體來說,兩間教育機構在處理學生及教職員的個人資料方面,符合《私隱條例》附表有關資料保安的規定。
個人資料私隱專員公署(圖片來源:星島日報)
視察結果顯示,兆基書院在資訊系統遭黑客入侵後,已採取多項技術性措施以加強資訊系統的保安,包括建立修補程式的管理程序、為帳戶的虛擬私人網絡(VPN)登入啟用雙重認證功能及設定高強度密碼。在存取管控方面,兆基書院採用「最小權限」及「角色為本」的存取管控機制。
私隱專員建議兆基書院,在資訊保安及資料保留方面制定更詳細及具體的政策、提升資訊系統的偵測措施,以及加強對資料處理者在妥善銷毀其所持有的個人資料方面的管理與監督。
香港兆基創意書院去年發生涉及黑客入侵的資料外洩事故。 香港兆基創意書院圖片
公署表示,港專在事故發生後,已採取多項技術性措施以加強資訊系統的保安及偵測能力,並已落實建立個人資料私隱管理系統,委任專責人員擔任保障資料主任,以及為員工提供有關保障個人資料的培訓及資訊,提高員工網絡安全及防範可疑電郵的意識。
私隱專員建議港專,制定更全面及具體的資訊保安政策及資料保留政策、加強檢視載有個人資料的資訊系統紀錄,以及對資訊系統定期進行保安審計,以進一步保障所持有的個人資料。
