日期: 2019年11月27日
公署回应传媒有关一小学资料库疑资料外洩事件
谢谢你有关「保良局陈守仁小学资料库疑被黑客入侵」的查询,香港个人资料私隐专员公署(公署)现就《个人资料(私隐)条例》(《私隐条例》)的相关内容回复如下:
-
公署已收到保良局陈守仁小学相关的资料外洩事故通报。由于有关资料库载有报读该校学生的个人资料(包括姓名、出生日期、地址等),私隐专员关注事件,并会就事件展开循规审查,以取得更多有关事故发生的事实,现阶段未能透露详细资料。
-
透过展开循规审查,公署首要的是向肇事机构提供协助,防止资料持续外洩事故,以减低往后因事故所构成的伤害。
-
私隐专员鼓励任何肇事机构通报资料外洩事故。是次有关小学于知悉事件发生后主动向公署通报,属良好行事方式。通报资料外洩事故有利于公署与相关机构携手,减低因事件对所涉人士可能构成的潜在损害,并寻求改善方案有效防止事件再次发生。
-
公署过去5年共接获88宗有关黑客入侵的资料外洩事故通报,其中38宗资料外洩事故通报涉及教育机构或学校。
-
不论公私营机构,都必须按《私隐条例》的规定采取有效的保安措施,妥善保障其处理的个人资料不会未经准许或意外地被查阅、处理、删除、丧失或使用,否则便有可能违反《私隐条例》下的资料保安原则。
-
因应资料的数量及敏感度(如涉及身分证号码),机构应考虑采取更多有效的技术保安措施,例如采用双重认证方式来查阅资料等。
-
机构应制定清晰及足够的政策、处理方式、程序和机制,以保障性质独特及敏感的个人资料。
-
家长则应留意子女的个人资料在什么情况下需要交予其他人士,并教导子女保护个人资料私隐的知识,及若遇到个人资料私隐遭洩露的情况,要向其信任的家长求助。
-
就另有传媒查询,公署未有收到英华小学相关的资料外洩事故通报。
-
为协助资料使用者作出资料外洩通报,公署发出资料外洩事故的处理及通报指引,就处理资料外洩的相关步骤向资料使用者提供指导。有关指引可于网站下载:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/DataBreachHandling2015_c.pdf