運輸署職員未跟程序摺信致投訴人身份證號碼外露 私隱署促增意識
個人資料私隱專員公署今日(7日)公布八宗違反《私隱條例》規定的資料保安事故,分別涉及政府部門、醫療服務機構、航空公司、旅行社等。其中,運輸署在發出郵遞文件時,未有跟從既定要求摺信,以致透過信封窗口可看到信件標題,以及由投訴人身份證號碼組成的個案編號。私隱專員公署呼籲,機構要加強員工對保障個人資料私隱的意識,及培養良好的工作習慣。
私隱公署介入八宗事故 涉政府部門、醫療服務機構、航空公司等
私隱公署早前介入八宗有關披露個人資料及個人資料保安的事故,分別涉及政府部門、醫療服務機構、航空公司、旅行社等。私隱專員鍾麗玲指,涉案機構分別違反了《私隱條例》下保障資料第 3(1)原則有關使用(包括披露)個人資料的規定,或保障資料第 4(1)原則有關個人資料保安的規定。
投訴人透過信封窗口可看到信件標題及其身份證號碼
其中有個案涉及政府部門,運輸署向投訴人郵遞有關通知更改地址的文件,投訴人收悉收信後,發現透過信封窗口可看到當中的信件標題及其個案編號,而該編號即其香港身份證號碼。事後該部門承認事件源於有職員未跟從部門既定的摺信要求處理信件。
運輸署:再三要求人員遵從既定程序 定期安排抽查
運輸署發言人回應說,經調查後,發現事件是一名人員在摺信過程中疏忽引致,已即時跟進並採取多項改善措施,包括再三要求人員嚴格遵從既定程序處理信件。發言人表示,已就摺信要求和程序制定詳細清晰的圖示指引,並定期安排抽查;同時相關信件範本已作適度修改,避免在信封窗口顯示任何個人資料,部門會持續加強人員培訓,提高保障個人資料私隱方面的意識。上述改善措施至今運作暢順,運輸署沒有接獲新增異常情況。
系統用錯誤指令碼 航空公司會員登入帳戶時被連結至另一會員帳戶
有航空公司的會員帳戶系統使用錯誤指令碼,令投訴人在登入會員帳戶時,被錯誤連結至另一會員的帳戶,並可查閱該會員帳戶內的個人資料。亦有保險公司以環保紙打印發送到其他公司的文件,但環保紙上有待棄置的個人簡歷及香港身份證副本,令當中所載的個人資料一併被錯誤發送到其他公司。
其餘個案包括有醫療服務機構透過網上登記表格收集市民的個人資料時,因職員沒有更改網上表格的「查看結果摘要」設定,洩露100多名登記人士的個人資料;有零售商向會員寄發優惠訊息電郵時,將全體會員的電郵地址錯誤填寫在「收件人」欄目,披露過千名會員的電郵地址。
亦有化驗中心的醫生在離開檢查室時未有登出系統,令檢查儀器顯示屏上展示了多名病人的資料;有旅行團領隊向團員派發的團體電子機票,載有全團30多人的個人資料;有停車場保安員在處理泊車投訴時,將投訴人的電話號碼不當披露予他人。
鍾麗玲籲機構加強員工對保障個人資料私隱意識
私隱專員鍾麗玲呼籲機構,加強員工對保障個人資料私隱的意識,並培養良好的工作習慣。公署建議將保障個人資料私隱納入機構的核心價值,通過培訓提升員工保障私隱的意識和能力,亦要定期監察、評估及改善資料保安政策的遵從情況,以及制定全面的資料外洩事故應變計劃等。
