泄強檢1.7萬人資料 機電署違規

【明報專訊】機電署泄漏兩年前新冠疫情下圍封強檢收集的資料，涉約1.7萬名市民。私隱公署昨公布裁定機電署4項缺失，包括無主動刪除資料、無制定資料保存期限的書面政策，不符《私隱條例》要求，形容情况遺憾。至於承辦商外泄資料成因，私隱專員鍾麗玲稱由於文件使用紀錄不全，已無法查證，亦難確認資料外泄具體時間。

機電署：承辦條款列明服務期後須刪

機電署回應稱，所涉承辦商的採購條款已列明服務期完結後會刪除相關資料；署方得悉資料外泄後一直採取負責任態度，向執法部門匯報並配合公署調查。該署稱已總結經驗，建立更穩健私隱保安框架和企業文化，包括改善部門電腦支援系統，開發專用平台儲存個人資料於該署伺服器；若涉外判服務，該署會在完約後提醒承辦商須在限期內刪除資料，並主動查核。

公署今年4月底接獲通報指承辦商「ArcGIS Online」雲端平台毋須登入可閱覽強檢市民資料，涉14幢強檢大廈17,325名住客。公署向機電署進行5次查訊並兩度去信承辦商，發現機電署2022年12月知悉強檢政策告一段落，並通知承辦商於翌年2月底約滿後不再續約。

公署裁定機電署4項缺失致資料外泄，包括無就強檢行動收集的個人資料保存期限制定書面政策，僅將完約作為保存期限根據；無清楚要求承辦商刪除資料；合約屆滿前無主動刪除資料；無跟進承辦商完約後刪資料。

公署稱理解部門須迅速部署和執行檢疫行動，惟機電署始終無採取適當跟進，違反私隱條例兩項原則，已發執行通知，包括要求使用第三方供應商時制定個人資料書面政策或指引等。

方保僑質疑無權管海外商 倡研堵漏

消防處和市建局於事發同期亦使用ArcGIS Online而外泄資料，被問調查為何無涵蓋承辦商責任，鍾麗玲稱曾翻查機電署載有市出現資料民資格的活動紀錄，發現部分日期顯示設定改為開放公眾閱覽，惟因資料不齊，且機電署解釋難以理解活動紀錄，無法斷定外泄原因和時間。她強調問題癥結是機電署於圍封強檢行動結束後沒在合理時間刪除資料。

香港資訊科技商會榮譽會長方保僑認為，今次是從承辦商平台外泄資料，而調查未有針對其責任，質疑公署無權監管服務供應商，尤其海外供應商，建議署方研究堵塞漏洞。