新聞稿

循規審查報告: 院校網站資訊管理失當 洩九千學生個人私隱

1. 個人資料私隱公署(簡稱「公署」)循規行動發現，11間本港教育機構(包括專上院校)的網站洩露學生檔案，危及多達8,505人的私隱。被披露的資料不乏敏感的個人資料，可被不法之徒用作行騙或假冒身份。

2. 公署去年4月跟進有關學校網站洩露個人資料的傳媒報道，對12間學校展開循規審查，證實其中9間學校的網站披露了2,115名學生的個人資料 (見表1)。

3. 披露的資料包括可識別資料當事人身份的姓名﹑學生編號(STRN)﹑學生及家長的電話號碼及電郵地址。須留心的是，學生編號是由教育局分配給學生的編號，就本港出生的學生而言，學生編號基本上與出生證明書或身份證號碼相同。在這種情況下，學生編號不是隨機編配的號碼，而是切實的身份識別編號。個別個案更牽涉個人機密資料，如學生使用學校電腦設施的用戶名稱及登入密碼。

4. 上述9間學校回應稱，資料外洩事件乃網站管理人員錯誤地將資料上載，或忘記將檔案移除網站所致。其餘3間則表示網上的資料屬虛構以作教學用途。

5. 為了確定學校網站洩露個人資料的問題是否普遍，公署在互聯網上用關鍵詞進行搜尋，經過20小時的搜尋，找到來自21間教育機構 (當中包括3間專上院校)ヽ共39份包含個人資料的檔案。公署繼而對其中兩間專上院校展開循規審查，即香港教育學院持續專業教育學院和嶺南大學持續進修學院。結果發現嶺南大學持續進修學院個案的影響範圍最大，涉及6,256名學生的資料 (見表1)。

6. 根據《個人資料(私隱)條例》的保障資料第4原則，資料使用者應採取切實可行的保安措施，確保其持有的個人資料不會被人未獲授權或意外地查閱。

7. 個人資料私隱專員蔣任宏今在新聞發佈會上指出：「今次循規行動中偵測得網站外洩學生和家長資料的事件惹人擔憂。鑑於公署只是用簡單的方法和有限的時間進行搜查，便輕易地發現網上外洩大量的個人資料，可想而知實際情況肯定更為嚴重。行動所得結果反映教育機構在保障個人資料方面欠缺警覺性和網上保安措施明顯不足。」

8. 「令我最失望的是兩所專上院校的表現。專上院校的資訊科技應用知識和資源一般比中學優勝，在保障網上個人私隱方面理應做得更好，但結果這兩所院校的表現卻強差人意。」

9. 蔣任宏表示: 「我擔心是次偵測結果只是冰山一角，因為我們在20小時的網上搜尋中同時發現，類似的外洩問題亦存在於商業機構的網站，雖然情況不及教育機構嚴重。」

10. 「機構須明白資訊科技帶來好處的同時也帶來私隱危機。我呼籲資訊和網站管理人員提高警剔，提防在互聯網上洩露個人資料。高層管理人員應為機構制訂個人資料保安和網上個人資料收集和管理的政策及程序。若機構網站不慎外洩資料，而不法之徒利用該資料進行冒認和行騙，對資料當事人造成滋擾和損失，機構實在難辭其咎。」

11. 專員已去信知會教育局是次循規審查的結果，以及建議當局就事件與其管轄範圍內的學校採取跟進行動。

12. 此外，公署將邀請上述教育機構出席公署舉辦的講座，加深了解如何保障資料及妥善使用資訊科技。公署亦鼓勵學校參考公署出版的《經互聯網收集及使用個人資料：給資料使用者的指引》。(www.pcpd.org.hk/tc_chi/resources_centre/publications/files/guidance_internet_c.pdf)

13. 上述院校經公署知會循規審查結果後，已在網站刪除有關資料，以及要求搜尋器公司從伺服器刪除搜尋記錄的快取複本。

14. 公署證實至今未有收到受影響學生或家長提出的投訴。公署暫時不擬就有關院校展開正式調查或採取進一步的執法行動。

表1：教育機構網站洩露個人資料循規審查結果一覽

*包括學生手提電話﹑住宅電話及緊急聯絡人及/或家長電話號碼

－完－