個人資料私隱專員公署（私隱專員公署）近日公布了對機電工程署（機電署）個人資料外洩事故的調查結果，指出機電署在處理個人資料方面存在多項缺失，導致超過17,000位新冠病毒強制檢測人士的個人資料外洩。私隱專員公署認為，機電署未能符合個人資料（私隱）條例（私隱條例）的要求，並對公眾期望有所虧負。

個人資料私隱專員公署（私隱專員公署）近日公布了對機電工程署（機電署）個人資料外洩事故的調查結果，指出機電署在處理個人資料方面存在多項缺失，導致超過17,000位新冠病毒強制檢測人士的個人資料外洩。私隱專員公署認為，機電署未能符合《個人資料（私隱）條例》（《私隱條例》）的要求，並對公眾期望有所虧負。

事故背景
機電署在今年4月接獲私隱專員公署通知，發現有資料外洩，涉及14座新冠病毒強制檢測的資料。外洩的資料包括受檢測人士的姓名、地址、香港身份證號碼、電話號碼、年齡、性別、是否接種新冠疫苗、核酸檢測結果及確診日期等。這些資料原本儲存於ArcGIS Online雲端平台，但在機電署於2023年2月底終止使用該平台後，公眾仍可在無需帳戶及密碼的情況下瀏覽這些資料。

私隱專員的調查結果
個人資料私隱專員鍾麗玲指出，機電署在處理個人資料方面存在多項缺失，導致資料外洩：

1. 缺乏資料保存期限政策：機電署沒有就強制檢測行動所收集的個人資料訂立書面保存期限政策，未能為資料的存廢提供明確依據。

2. 未明確要求承辦商刪除資料：機電署在2022年底知悉強制檢測行動告一段落後，雖然通知承辦商不再續約，但並未明確要求承辦商刪除相關個人資料。

3. 未主動刪除資料：在2022年12月底通知承辦商不再續約，直至2023年2月底合約屆滿期間，機電署仍有權限登入電子表格平台管理個人資料，但機電署並未主動採取行動自行查核及刪除平台上的個人資料。

4. 未適當跟進承辦商刪除資料：機電署僅假定承辦商在合約結束後會自行刪除資料，並未督促、查核或提醒承辦商刪除電子表格平台上的個人資料，也未了解或監察承辦商的行動進度或成效。

私隱專員的裁定
私隱專員裁定機電署違反了《私隱條例》的兩項規定，並要求機電署採取措施糾正違規事項，防止類似情況再次發生。

機電署的回應
機電署回應裁定結果時表示，將致力建立一套更穩健的私隱保安框架和保障個人資料的企業文化，具體措施包括：

– 加強私隱管理：全面檢視及加強處理個人資料的工作指引。
– 員工培訓：加強員工培訓，提升對個人資料保護的意識。
– 承辦商監管：加強對網上伺服器平台承辦商的監管。
– 改善電腦系統：開發專用平台，將個人資料儲存於機電署的伺服器內。
– 合約完結後的資料刪除：若外判服務涉及處理個人資料，將在合約完結後提醒承辦商須在期限內刪除相關資料，並主動查核承辦商以確認已完成刪除工作。

結論
此次事件凸顯了機電署在個人資料保護方面的不足，私隱專員公署的調查結果和裁定將促使機電署進一步完善其資料管理流程，以確保個人資料的安全性和私隱得到充分保障。