機電署外洩逾萬人資料違反私隱條例 稱會嚴肅跟進私隱公署報告

機電署外洩萬幾個市民個人資料，私隱專員公署裁定違反《私隱條例》。機電署回應指會審視報告，嚴肅跟進和採取適當行動。

新冠疫情期間，政府動員多個部門，對確診者居住的大廈圍封強檢。機電工程署在2022年3至7月負責其中14次行動，並委聘承辦商以14張電子表格，紀錄14幢大廈、1.7萬名住戶個人資料。至今年四月發現相關資料外洩，包括住戶的姓名、身份證號碼、電話號碼等。

私隱專員公署調查後指，承辦商合約在2023年約滿，機電署以為平台帳戶會失效，承辦商會自動刪除資料，結果到今年4月，有市民發現自己資料可以公開瀏覽。

私隱公署認為機電署有四項缺失，包括無明確要求承辦商刪除資料，至發現外洩時才要求移除，相關資料當晚就被刪除。

公署認為，證明機電署如果一早提出就可做到，認為這屬有效且切實可行的步驟，但機電署未有做到。而在合約屆滿前，機電署又無主動查核或刪除平台的資料，只是假定承辦商會自行採取行動，無督促、查核或提醒，形容是明顯缺失。

私隱專員表示，理解面對疫情，機電署或因時間緊迫，未及考慮如何刪除相關資料，但發現機電署其實一直沒制訂個人資料保存期的書面政策，未能符合《私隱條例》。

私隱專員鍾麗玲稱：「我認為機電署做法明顯未能符合《私隱條例》相關要求，亦虧負公眾合理期望，情況令人遺憾。我們亦留意到其他部門都刪除了相關資料，我是沒有權力直接作行政罰款，或有權力提出起訴，希望可加大《私隱條例》罰則或引入行政罰款機制。」

公署發出「執行通知」，要求機電署糾正，防止類似事件再發生。

機電署指一直非常重視資訊安全和個人資料私隱，已制定政策指引，定期予同事傳閱。又指與涉事承辦商的條款中，已列明服務期完結後，承辦商會刪除相關資料。

署方指已就事件總結經驗，包括開發專用平台，將個人資料儲存於署方伺服器內，並主動查核承辦商有否刪除個人資料。