機電署外洩圍封強檢1.7萬人資料私隱公署斥虧負公眾期望

機電署前年「圍封強檢」期間收集1.7萬名市民個人資料，並將資料上載至網上伺服器平台；其後強檢行動結束，機電署以為停用該電子平台，資料亦會自動刪除，但承辦商事隔兩年仍未移除資料，有市民不用密碼就能瀏覽相關資料。機電署於4月接到私隱專員公署通知始知市民資料外洩，即時要求承辧商移除平台資料。私隱專員公署批評該部門有負公眾期望，情況令人遺憾，並裁定違反私隱條例。

新冠疫情期間，不同政府部門均曾參與大廈圍封強檢工作，機電署前年3至7月委聘承辦商以14張電子表格，紀錄14幢公屋大廈、1.7萬名住戶個人資料；當中涉及姓名、地址、身份證號碼、電話號碼、年齡、性別、有否接種新冠疫苗等資料。資料上載至網上伺服器平台。有市民早前網上搜尋發現，不用登入密碼可在雲端平台瀏覽到曾被強檢資料，私隱專員公署4月接到市民通知，而機電署接到公署通知才悉資料外洩。

公署調查發現，機電署2022年12月底通知服務承辦商，指雙方的合約在2023年2月底屆滿後不再續約，並認為約滿後電子表格平台帳戶會失效，當中儲存的個人資料亦會自動被承辦商移除。公署認為機電署有4項缺失，包括沒有就個人資料保存期限制訂書面政策、未有主動登入平台刪除資料、未有向承辦商提出及跟進刪除資料，裁定機電署違反私隱條例個人資料保存期限及保安規定。

私隱專員鍾麗玲指，理解檢疫工作部署迅速，機電署或因時間緊迫，未及考慮如何刪除相關資料，但該署從沒督促、查核或提醒承辦商刪除資料，亦無了解或監察承辦商有關行動的進度，令資料不必要暴露於外洩風險中；認為機電署的做法虧負公眾的合理期望，情況令人遺憾。她又指，「留意到其他部門都刪除了相關資料，我是沒有權力直接作行政罰款，或有權力提出起訴，希望可加大私隱條例罰則或引入行政罰款機制。」公署指令機電署兩個月內制定書面政策或指引，清晰界定第三方供應商保存資料期限及刪除資料的責任。

機電署回應指，就事件已總結經驗，避免類似事件再次發生。署方已採取一系列措施：強化私隱管理、全面檢視及加強處理個人資料的工作指引、加強員工培訓和對網上伺服器平台承辦商的監管，以及優化部門電腦支援系統。若外判服務涉及處理個人資料，機電署亦會在合約完結後提醒承辦商須在期限內刪除相關資料，並會主動查核承辦商以確認已完成刪除個人資料的工作。