近日,個人資料私隱專員公署於2023年11月9日公布了關於機電工程署(機電署)的一份調查報告,揭示了一起嚴重的個人資料外洩事件。這起事件的根源在於機電署於2022年在新冠疫情期間協助政府進行的圍封強檢行動,涉及超過17,000名市民的個人資料,包括姓名、地址、身份證號碼及電話號碼等敏感信息的潛在外洩。
根據報告,機電署在2022年3月至7月期間協助執行了14次圍封強檢行動,並使用了一個雲端平台的電子表格來記錄受檢查市民的個人資料。這些資料不僅包含了基本的個人信息,還包括了市民的年齡、性別、疫苗接種狀況及確診紀錄等。這種詳盡的資訊無疑對受檢者的隱私造成了極大的威脅。
事件引起了人們的極大關注,私人資料私隱專員鍾麗玲對此表示,機電署在資料處理上的做法明顯不符合《私隱條例》的要求,未能滿足公眾對私隱保護的合理期望。公署於今年4月接獲市民投訴,指出其個人資料可在該雲端平台上被搜尋到,隨後機電署發現該問題並要求承包商即日刪除有關資料,然而這一切都顯示出機電署在資料安全管理上的明顯不足。
報告指出機電署存在四大缺失,分別是:未訂立有關強檢行動所收集的個人資料保存期的書面政策、未向承辦商要求刪除資料、缺乏主動刪除措施以及未能追蹤已刪除資料的情況。專員指出,這些疏失不僅是對法律的違反,更是對公眾信任的嚴重傷害。
機電署在回應中表示,他們將會嚴肅對待報告中的問題,並承諾會詳細審視相關內容,隨即會針對報告所提及的缺失採取適當的後續行動。機電署已經開始加強私隱管理,進一步檢討及提升個人資料處理的指引,並強化員工的培訓與監管措施。同時,該署還計劃優化內部電腦系統,開發一款專用平台來將個人資料安全儲存。
隨著此事件的發酵,機電署希望通過這次教訓,重建公眾對其處理個人資料保護的信心,並承諾日後外判服務涉及處理個人資料時,將更嚴格要求承包商在合約結束後按照時限刪除相關資料,並主動檢查以確保措施的落實。
總體來看,這起事件不僅讓人對機電署在執行迅速而有效的公共健康措施同時,是否能保障市民的個人隱私產生疑問,也促使我們深思如何在緊急措施中平衡公共安全和個人隱私保護。政府各相關部門必須從中吸取教訓,切實提高對個人資料保護的重視,以防止類似事件再次發生,保障市民的基本權益。
