机电署外泄1.7万市民资料违私隐条例 私隐专员倡加大罚则

机电署外泄17,000个市民个人资料，私隐专员公署裁定违反《私隐条例》，机电署表示会总结经验，已制定政策指引保障个人私隐。

新冠疫情期间，政府动员多个部门对确诊者居住的大厦围封强检。机电工程署在2022年3至7月，负责其中14次行动，并委聘承办商以14张电子表格，纪录14幢大厦1.7万名住户个人资料。至今年四月发现相关资料外泄，包括住户的姓名、身份证号码、电话号码等。

私隐专员公署调查后指，承办商将资料储存在云端，合约在2023年2月届满，机电署以为平台帐户会失效，承办商会自动删除资料，结果到今年4月，有市民发现自己资料可以公开浏览。

私隐公署认为机电署有四项缺失，包括无明确要求承办商删除资料，至发现外泄时才要求移除，相关资料当晚就被删除。公署认为，证明机电署如果一早提出，就可做到，认为这属有效且切实可行的步骤，但机电署未有做到。

而在合约届满前，机电署又无主动查核或删除平台的资料，只是假定承办商会自行采取行动，无督促、查核或提醒，形容是明显缺失。

私隐专员表示，理解面对疫情，机电署或因时间紧迫，未及考虑如何删除相关资料，但发现机电署其实一直没制订个人资料保存期的书面政策。

私隐专员钟丽玲表示：「我认为机电署做法明显未能符合《私隐条例》相关要求，亦亏负公众合理期望，情况令人遗憾。我们亦留意到其他部门都删除了相关资料。我是没有权力直接作行政罚款，或有权力提出起诉，希望可加大《私隐条例》下的罚则，希望引入行政罚款机制。」

公署发出「执行通知」，要求机电署纠正，防止类似事件再发生。

机电署回应指，会详细审视报告内容，严肃跟进和采取适当行动，并已总结经验，强化私隐管理。