日期: 2020年5月8日
公署回应传媒查询有关市民投诉资料外洩的事宜
就 贵刊查询有关市民投诉资料外洩的事宜,香港个人资料私隐专员公署(私隐公署)现就《个人资料(私隐)条例》(《私隐条例》)的相关内容回复如下:
问题
「1. 请提供2018年至今,按月份列出以下两类数字:
a) 有关资料外洩事故的投诉数字
b) 与公司客户资料外洩有关的投诉数字
2. 私隐公署对于以上情况有没有任何提醒或建议?」
答:问题1(a) 及(b)
-
2018年1月至2020年4月有关市民投诉资料外洩的数字(个案宗数)
|
|
2018 |
2019 |
2020(截至4月) |
|
投诉资料外洩的个案宗数 |
投诉公司客户资料外洩的个案宗数[1] |
投诉资料外洩的个案宗数 |
投诉公司客户资料外洩的个案宗数 |
投诉资料外洩的个案宗数 |
投诉公司客户资料外洩的个案宗数 |
|
一月 |
5 |
2 |
6 |
6 |
9 |
5 |
|
二月 |
4 |
1 |
2 |
2 |
2 |
2 |
|
三月 |
5 |
1 |
1 |
1 |
0 |
0 |
|
四月 |
15 |
1 |
7 |
1 |
2 |
1 |
|
五月 |
4 |
1 |
4 |
4 |
- |
- |
|
六月 |
5 |
0 |
3 |
3 |
- |
- |
|
七月 |
2 |
1 |
1 |
1 |
- |
- |
|
八月 |
2 |
1 |
2 |
1 |
- |
- |
|
九月 |
2 |
1 |
3 |
3 |
- |
- |
|
十月 |
78 |
75 |
2 |
0 |
- |
- |
|
十一月 |
70 |
63 |
1 |
1 |
- |
- |
|
十二月 |
2 |
1 |
3 |
1 |
- |
- |
|
|
194 |
148 |
35 |
24 |
13 |
8 |
-
2018年10月及11月份投诉公司客户资料外洩对比之前月份大幅上升,是因为一间航空公司于2018年10月24日公布外洩了940万名客户资料而引发。
答:问题2
-
不论公私营机构,都必须按《私隐条例》的规定采取有效的保安措施,妥善保障其处理的个人资料不会未经准许或意外地被查阅、处理、删除、丧失或使用,否则便有可能违反《私隐条例》下的资料保安原则。
-
现时资料外洩事故通报只属自愿性质,但私隐公署鼓励肇事机构尽早通知私隐公署,此举有利于私隐公署与相关机构携手,减低因事件对所涉人士可能构成的潜在损害,并寻求改善方案有效防止事件再次发生。公署亦鼓励肇事机构尽快通知受影响的资料当事人。
-
机构应制定清晰及足够的政策、处理方式、程序和机制,以保障个人资料私隐不被侵扰,特别是性质独特及敏感的个人资料。
-
除了要遵从《私隐条例》上述的规定外,机构亦应恪守更高的数据道德标准,以尊重、互惠和公平的数据管理价值处理市民的个人资料,以符合市民的期望。
-
私隐公署鼓励机构引入「私隐管理系统」,把个人资料私隐保障纳入机构管治责任,由上而下推行公开和具透明度的资讯政策和常规,并采纳「贯彻私隐设计」(Privacy by Design)及「预设私隐」(Privacy by Default)模式作为企业的核心考虑因素,方为长远应对个人资料私隐保障的方案。而第三方供应商和企业的合作夥伴也应进行私隐影响评估(Privacy Impact Assessment),以防范于未然。
[1]其他投诉资料外洩的个案包括外洩了并非公司客户的资料,例如僱员、学生、老师等。