機電署外洩1.7萬市民資料違私隱條例 私隱專員倡加大罰則

機電署外洩17,000個市民個人資料，私隱專員公署裁定違反《私隱條例》，機電署表示會總結經驗，已制定政策指引保障個人私隱。

新冠疫情期間，政府動員多個部門對確診者居住的大廈圍封強檢。機電工程署在2022年3至7月，負責其中14次行動，並委聘承辦商以14張電子表格，紀錄14幢大廈1.7萬名住戶個人資料。至今年四月發現相關資料外洩，包括住戶的姓名、身份證號碼、電話號碼等。

私隱專員公署調查後指，承辦商將資料儲存在雲端，合約在2023年2月屆滿，機電署以為平台帳戶會失效，承辦商會自動刪除資料，結果到今年4月，有市民發現自己資料可以公開瀏覽。

私隱公署認為機電署有四項缺失，包括無明確要求承辦商刪除資料，至發現外洩時才要求移除，相關資料當晚就被刪除。公署認為，證明機電署如果一早提出，就可做到，認為這屬有效且切實可行的步驟，但機電署未有做到。

而在合約屆滿前，機電署又無主動查核或刪除平台的資料，只是假定承辦商會自行採取行動，無督促、查核或提醒，形容是明顯缺失。

私隱專員表示，理解面對疫情，機電署或因時間緊迫，未及考慮如何刪除相關資料，但發現機電署其實一直沒制訂個人資料保存期的書面政策。

私隱專員鍾麗玲表示：「我認為機電署做法明顯未能符合《私隱條例》相關要求，亦虧負公眾合理期望，情況令人遺憾。我們亦留意到其他部門都刪除了相關資料。我是沒有權力直接作行政罰款，或有權力提出起訴，希望可加大《私隱條例》下的罰則，希望引入行政罰款機制。」

公署發出「執行通知」，要求機電署糾正，防止類似事件再發生。

機電署回應指，會詳細審視報告內容，嚴肅跟進和採取適當行動，並已總結經驗，強化私隱管理。