機電署洩1.7萬強檢市民資料 私隱專員裁定4大缺失

機電署2022年收集「圍封強檢」間14幢大廈，逾1.7萬名市民身份證及住址等個人資料，存放在承辦商雲端平台。到今年4月底接獲私隱專員公署通知後才得悉資料外洩。公署裁定機電署違反《私隱條例》，已發出執行通知要求機電署糾正，避免同類事件發生。

機電署在2022年3至7月期間共執行14次強檢行動，並向承辦商採購並使用雲端平台ArcGIS Online電子表格平台製作14張電子表格作記錄並將受檢市民資料儲存平台數據儲存庫中。

4月尾市民向私隱專員公署通報

今年4月尾市民向私隱專員公署通報於ArcGIS online雲端平台在無需權限及密碼情況下，可搜尋到14次強檢行動相關居民或訪客個人資料，包括住址、身份證號碼等。4月30日在私隱專員公署通知下，機電署才得悉強檢行動中受檢市民個人資料在雲端平台上被瀏覽，而隨即要求辦商同日移除涉事個人資料，亦翌日向公署通報。

私隱專員公署就外洩事件向機電署進行5次查詢，兩度去信要求承辦商就事件提供相關資料。公署裁定外洩事件發生主因源於機電署四大缺失，違反《私隱條例》有關個人資料保存期限和有關個人資料保安規定。

機電署：已採取措施避免事件再發生

機電署認為合約屆滿後資料會被承辦商刪除，故此沒有就強檢行動所收集個人資料保存期限，制定書面政策以及未有清楚向承辦商提出刪除相關資料要求。私隱專員鍾麗玲認為署方通知承辦商不再續約時應提出刪除相關資料要求。另外，直到2023年2月底合約屆滿期間，機電署沒有主動採取行動查核及刪除平台上個人資料，或督促、查核或提醒承辦商刪除。私隱專員認為機電署富了公眾合理期望，情況令人遺憾。

對此，機電署表示已總結經驗，並已採取一系列措施，避免類似事件再次發生。若外判服務涉及處理個人資料，署方亦會在合約完結後提醒承辦商須在期限內刪除相關資料，並會主動查核以確認已完成刪除個人資料的工作。

原文刊登於 AM730 https://www.am730.com.hk/本地/機電署洩1.7萬強檢市民資料-私隱專員裁定4大缺失/514314?utm_source=yahoorss&utm_medium=referral