在全球疫情持續的背景下,香港的個人資料保護問題再度受到關注。根據香港個人資料私隱專員公署近日發表的調查報告顯示,在2022年COVID-19疫情期間,機電工程署(機電署)在執行圍封強檢行動期間,涉及超過17,000名市民的個人資料外洩,包含姓名、地址、身份證號碼及電話號碼等敏感信息。這一事件使得人們對於個人資料的管理及保護再次產生疑慮。
根據報告,機電署在2022年3月至7月期間協助執行了多達14次的圍封強檢行動。在這些行動中,使用了一個雲端平台的電子表格來紀錄受檢市民的資料,這些資料不僅詳盡且具高敏感性,包括住址、身份證號碼、年齡、性別、疫苗接種狀況等。不幸的是,這些資料在事件發生後遭到外洩,並曾在網絡上可以被搜尋到,令不少市民深感憤怒和擔憂。
機電署在面對這一指控時,表示會認真審視報告的內容,並會對事件做好跟進和適當的行動。為避免此類事件再次發生,機電署已經展開一系列的措施來強化私隱管理,包括對個人資料處理指引進行全面檢討,加強員工的培訓,以及改善供應商的監管流程。他們計劃將個人資料儲存於署內專用伺服器上,以降低因外部服務商所引發的外洩風險。
然而,私隱專員辦公室的調查發現,機電署在事件處理上存在四項重大缺失:首先,未對強檢行動所收集的個人資料設立保存期限的書面政策;其次,未有向承辦商要求刪除這些資料;再次,未能主動刪除已外洩的個人資料;最後,也未妥善跟進資料刪除的後續情況。這些行為明顯違反了《私隱條例》的要求,未能符合公眾對於個人資料保護的合理期望。
私隱專員鍾麗玲表示,儘管理解在疫情下,執行檢疫工作需要迅速反應,但機電署在策劃及展開強檢行動時,未能妥善考慮個人資料的後續管理安排,顯然未能滿足《私隱條例》的標準。她強調,機電署有責任保護公眾的個人資料,這一失敗令人遺憾。
現階段,機電署已收到私隱公署的執行通知,指示其糾正違規事項,並防止類似事件再次發生。機電署表示,將採取必要的步驟來彌補這一缺失,並加強對所有外判服務的監管措施。未來,機電署將在每項合約結束後,確保承辦商按要求在時限內刪除所有相關的個人資料,以保護市民的私隱權益。這場事件不僅是一個警鐘,也是一個重新思考如何更好地保護個人資料的機會。
