日期: 2019年12月7日
公署回应传媒有关网上校管系统疑被黑客入侵
谢谢你有关「网上校管系统疑被黑客入侵」的查询,香港个人资料私隐专员公署(公署)现回复如下:
-
公署已收到肇事学校相关的资料外洩事故通报。由于有关资料库载有个人资料,私隐专员关注事件,并已就事件向肇事学校及教育局展开循规审查,以取得更多有关事故发生的事实,现阶段未能透露详细资料。
-
透过展开循规审查,公署首要的是向肇事机构提供协助,防止资料持续外洩,以减低往后因事故所构成的伤害。
-
私隐专员鼓励任何肇事机构通报资料外洩事故。是次有关学校于知悉事件发生后主动向公署通报,属良好行事方式。通报资料外洩事故有利于公署与相关机构携手,减低因事件对所涉人士可能构成的潜在损害,并寻求改善方案有效防止事件再次发生。
-
不论公私营机构,都必须按《个人资料(私隐)条例》(《私隐条例》)的规定采取有效的保安措施,妥善保障其处理的个人资料不会未经准许或意外地被查阅、处理、删除、丧失或使用,否则便有可能违反《私隐条例》下的资料保安原则。
-
由于学校的网上校管系统往往储存了大量属于学生、家长、教职员等的个人资料,学校应设定系统的个人资料保安程序(如制定查阅及存取权限、加密措施、检查记录等),只让获授权人士(一般而言如相关教职员或其它有合理理据需要其协助处理的人士)基于「需要知道」和最小权限的原则查阅或存取系统内的个人资料;另应因应职能及实际运作制定系统的个人资料保安政策及指引,并将相关保安程序通知所有教职员,及定期作出检讨和更新,确保所有有关人员遵从个人资料保安政策、程序及指引。
-
因应资料的数量及敏感度(如涉及身分证号码),机构应考虑采取更多有效的技术保安措施,例如采用双重认证方式来查阅资料等。
-
机构应制定清晰及足够的政策、处理方式、程序和机制,以保障性质独特及敏感的个人资料。