●鍾麗玲建議,機構應通過培訓提升員工保障私隱的意識及能力,同時制定清晰易明的工作指引、資料外洩事故應變計劃等。 香港文匯報記者張弦 攝

保險公司環保紙洩密 運輸署信封窗口露資料

個人資料私隱專員公署昨日公布8宗違反《私隱條例》相關規定的資料保安事故,涉及政府部門、醫療服務、航空公司、旅行社、保險與零售等不同行業機構,當中不少涉及人為錯誤與意識不足問題,例如運輸署職員在發出郵遞文件時未有跟從既定要求摺信,以致信件標題和由投訴人身份證號碼組成的個案編號,透過信封窗口洩露;亦有保險公司將背面印有個人簡歷及香港身份證副本的紙張當環保紙,循環再用來製作文件發送予其他公司。個人資料私隱專員鍾麗玲指出,案件足見若員工沒有按照既定程序工作,有可能導致資料外洩,建議通過培訓提升員工保障私隱的意識及能力,同時制定清晰易明的工作指引等。 ●香港文匯報記者 張弦

該8宗事故大部分屬於員工沒有相關意識或疏忽導致,例如一間化驗中心的醫生離開超聲波檢查室時未有登出系統,令仍留在檢查室內的人員,能清楚看到儀器顯示屏上其他病人的資料,包括姓名、身份證號碼及簡單病歷等;一名旅行團領隊向團員派發的團體電子機票上載有包括其本人及全團超過30人的英文姓名及出生日期,令所有團員均能透過該電子機票得知彼此個人資料;一名停車場保安員在處理有關泊車投訴時,未有徵得投訴人同意下,將其電話號碼提供予另一名租戶讓他們自行協商問題。

更有保險公司將待棄置並載有他人個人簡歷、香港身份證副本資料的單面印刷紙張當環保紙,重用後向其他公司發送文件。

其餘事故則屬於員工沒有按照既定程序工作或個人失誤,例如運輸署職員發出郵遞文件時沒有跟從既定要求摺信,以致透過信封窗口可看到信件標題,以及由投訴人身份證號碼組成的個案編號;一間醫療服務機構透過網上登記表格收集市民個人資料時,沒有對表格「查看結果摘要」功能作出適當設定,令逾百名登記者的個人資料被其他填表的人查閱;一間航空公司的會員賬戶系統使用錯誤指令碼,導致有人在登入會員賬戶時被錯誤連結至另一會員賬戶,並可查閱賬戶內的個人資料。

另有零售商向會員寄發優惠信息電郵,職員因操作失誤,把全體會員的電郵地址填寫在「收件人」欄目,令收件人可在該電郵中看到逾千名會員的電郵地址。

倡制定全面資料外洩事故應變計劃

鍾麗玲昨日在記者會上表示,近年全球數據外洩事件呈上升趨勢,香港整體對數據安全的意識則不斷提高,惟該8宗個案均顯示員工疏忽或沒有遵從既定工作流程,已可導致資料外洩事故。

她呼籲機構加強培訓提升員工保障私隱的意識和能力、制定清晰易明的工作指引、採取技術上的保安措施、制定全面的資料外洩事故應變計劃,以及將保障個人資料私隱納入機構的核心價值。

另外,澳洲航空早前發生資料外洩事件,涉及600萬名客戶。鍾麗玲表示,澳航的新聞稿沒有提及有否香港乘客受影響,但個別香港乘客曾聯絡公署,故公署正向澳航查詢有否香港乘客受影響,以及牽涉的個人資料,正等待回覆。