私隱公署倡選舉處定期演習 加強個資保安

選舉事務處屢次發生個人資料外洩事故。個人資料私隱專員公署今（20日）就該處的個人資料系統發布視察報告，提出包括定期進行資料外洩演習等建議。

私隱專員鍾麗玲遂依據《個人資料（私隱）條例》第36條的權力，視察選舉事務處並審視其個人資料系統，藉此加強選舉事務處對其持有的個人資料的保障，並防止資料外洩事件再發生。

公署稱視察結果顯示，選舉事務處致力實施個人資料私隱管理系統，為保障個人資料私隱建立了穩健的基礎，並透過持續評估及監督該系統，以確保符合《私隱條例》的要求。

鍾於視察報告中向選舉事務處提出10項建議，包括審查與資料處理者簽訂的所有服務合同，規定選舉事務處審核和檢查如何處理和儲存個人數據；定期進行資料外洩演習；確保個人資料保留時間不會超過所需要的時間等。

此外，鍾麗玲「強烈鼓勵」選舉事務處，向全體員工灌輸和維持「優良的資料保障文化」，以更好地保障持份者個人資料的私隱及安全，並展示他們對良好數據管治及與公眾建立信任的決心。

翻查資料，選舉事務處於去年3月及4月先後因職員錯誤，洩漏逾1.5萬名選民的資料。

第一宗個案涉及選舉事務處安排職員在家工作期間，有文書主任在家中將兩個載有15,070名選民資料的檔案，包括中英文姓名及住址資料的試算表檔案，傳送至其私人電郵地址，以方便工作。然而，該職員輸入了錯誤的電郵地址，導致檔案傳送至一名不明收件人。

第二宗個案涉及一名選舉事務處職員將一名選舉委員會委員送交附個人資料的回條，錯誤夾附在發送予64名選舉委員會委員或其助理的測試電郵內。當中涉及的個人資料包括委員及其助理的姓名、電郵地址、電話號碼，及該選舉委員會委員的簽署。

當時私隱專員鍾麗玲稱，兩宗個案凸顯選舉事務處沒有採取所有切實可行的步驟，以確保個人資料受到保障，裁定選舉事務處違反《個人資料（私隱）條例》保障資料第 4（1）原則有關個人資料保安的規定。

鍾當時向選舉事務處送達兩份執行通知，包括要求採取電郵系統的保安措施，檢視並改善收集選委個人資料及發送大量附有個人資料的電郵的工作流程，加強有關資訊保安及個人資料保障的培訓等。@

------------------

私隱公署倡選舉處定期演習加強個資保安