未清楚制定刪除資料政策　機電署外判平台泄1.7萬名強檢者個人資料違私隱例 (13:00)

機電署今年5月公布一宗資料外泄事故，涉及一批於兩年前新冠疫情期間圍封強檢時所收集的資料，受影響14幢公屋大廈包括啟晴邨、元州邨、友愛邨等，涉及約1.7萬名市民個人資料，包括姓名、地址、身分證號碼、有否接種新冠疫苗等。公署經調查後裁定機電署違反《私隱條例》，已送達執行通知，要求採取糾正措施，並於兩個月內向公署提交報告。

機電署於2022年3月至7月執行圍封強檢行動，並委託承辦商採購並使用雲端平台ArcGIS Online，以收集強檢行動中受檢測市民的資料，至2022年12月強檢行動結束，2023年2月底合約屆滿，惟直至2024年4月30日，私隱專員發現平台上個人資料，可毋需登入下瀏覽。

私隱專員鍾麗玲稱，機電署翻看2022年7月至本年4月平台的活動記錄（Activity Log），發現紀錄不整，亦無法得知瀏覽權限更改為公開的成因。她認為問題癥結在於強檢結束後為何未在合理時間內刪除資料。至於圍封強檢涉及多個部門，被問到政府應否交由各部門自行處理儲存資料的安排，鍾麗玲稱相信當時強檢行動有其必要性及急切性，「如當時未能進行刪除資料政策，可以理解」。

公署稱已向機電署五度查訊，並兩度去信要求承辦商就事件提供資料。經調查後認為，機電署多項缺失導致資料外泄，包括未有就強檢行動所收集的個人資料保存期限制定書面政策，僅靠於2022年底通知承辦商不再續約，就作為資料保存期限的根據。署方亦未有清楚向承辦商提出刪除資料的要求，直至得知外泄事件後，始要求承辦商移除涉事個人資料等。

公署形容情况令人遺憾，向機電署發出執行通知，指令署方就使用第三方供應商處理個人資料方面制定書面政策或指引，包括與供應商訂立個人資料保存期限安排、訂定刪除資料責任誰屬等，並每年最少兩次向職員傳閱有關修訂指引。

JobsDB及8間機構刊登匿名招聘均違《私隱條例》

另外，公署早前調查8間機構透過JobsDB刊登匿名招聘廣告的個案， 發現JobsDB及8間機構以「私人廣告商」名義刊登招聘廣告而未有披露機構名稱，要求求職者向其提供個人資料，有關業務性質涵蓋證券、服裝零售、中醫藥及運輸服務等，並涉及準僱主及其代表。公署裁定JobsDB及8間機構均違反《私隱條例》的保障資料規定，並已向JobsDB及3間招聘機構發出執行通知，亦向餘下5間機構發出勸喻信。

被問及執行通知會否要求JobsDB移除「匿名招聘」功能，助理個人資料私隱專員（投訴及刑事調查）何芹若僅稱「無開名」的廣告不一定是匿名廣告，執行通知中主要要求涉事機構及平台移除匿名廣告。她解釋，匿名招聘廣告一般是指該廣告沒有披露招聘機構名稱或提供足夠資料以辨識相關機構身分、沒有向求職者提供聯絡方式，並直接要求求職者遞交個人資料。

何芹若稱，私隱專員就JobsDB刊登匿名廣告情況五度次查訊，發現在平台登記開立帳戶，則可透過其帳戶刊登廣告進行招聘；自本年一月起，求職者亦可根據廣告的指示，按「Quick apply」鍵遞交申請並提供所要求的個人資料。她表示，由於JobsDB控制求職者的個人資料的收集、持有、處理，包括刪除，以及使用，而八間招聘機構亦在平台上收集求職者的個人資料，故均屬《私隱條例》下的「資料使用者」，必須遵從《私隱條例》及相關保障資料原則的規定。

私隱專員促網上招聘平台營運商慎防任何人利用匿名招聘廣告進行詐騙行為或不公平地收集個人資料，並小心審視接獲的廣告，以識別及避免刊登匿名招聘廣告。公署另呼籲刊登招聘廣告的僱主披露機構身分、避免刊登匿名招聘廣告，以及有需要時考慮委託招聘代理代為收集求職者個人資料，並在廣告中述明招聘代理身分。