日期: 2022年6月13日
私隐公署发表两份调查报告及新版本的物业管理界别指引
个人资料私隐专员公署(私隐公署)今日发表两份调查报告:(一)康健医疗及牙科服务有限公司(康健)意外弃置病人医疗纪录;及(二)四间物业管理公司不当收集、保留及使用业户及访客个人资料,亦同时发布新版本的《保障个人资料私隐—物业管理界别指引》。
康健意外弃置病人医疗纪录的调查报告
私隐公署已经完成对康健意外弃置病人医疗纪录的调查,并于今日发表调查报告。事件源于2021年6月2日私隐公署收到康健的资料外洩事故通报,表示旗下一间位于炮台山的医务中心(该医务中心)在2021年3月中旬意外弃置一个载有病人医疗纪录的纸箱(该纸箱)(纸箱弃置前的位置见图1)。事件涉及该医务中心294 名病人。
图 1:纸箱弃置前的位置
根据调查所获得的证据,个人资料私隐专员(私隐专员)钟丽玲发现康健在以下方面存在严重不足,导致该纸箱在可避免的情况下遭意外弃置:
-
员工的个人资料保障意识欠奉;
-
欠缺有效的资料保障政策及程序;及
-
欠缺提供个人资料保障方面的员工培训。
在这个案中,私隐专员发现康健在个人资料的保安方面存在严重不足,私隐专员认为康健没有采取所有切实可行的步骤以确保涉事的医疗纪录受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,因而违反了《个人资料(私隐)条例》(《私隐条例》)保障资料第 4(1)原则有关个人资料保安的规定。私隐专员已向康健送达执行通知,指示康健纠正以及防止有关违规情况再发生。
此外,虽然《私隐条例》没有规定资料使用者须向私隐专员及资料当事人通报资料外洩事故,亦没有规定资料使用者须在指定时间内作出通报,但考虑到事件所涉及的个人资料性质敏感,私隐专员认为康健可在更早的时间作出资料外洩事故通报。私隐专员对康健在事件发生接近三个月后才作出资料外洩事故通报,表示遗憾。
私隐专员希望借此报告提醒机构,个人资料无论是遭意外丢失、洩漏还是不当处置,对相关人士潜在的伤害实在不容忽视,尤其是当有关资料涉及属敏感资料的医疗纪录。私隐专员建议机构:
-
设立个人资料私隐管理系统(私隐管理系统),循规地使用及保留个人资料;
-
委任保障资料主任,监察《私隐条例》的遵从并向高级管理层汇报;
-
提升僱员的个人资料保障意识,并为机构建立保障个人资料文化;
-
向僱员提供全面的培训,将个人资料保障的意识渗入其日常工作之中,减低因意识不足而引致的人为错误;及
-
不论属电脑或是实体系统处理个人资料的保安措施均应同样重视,投放相应资源,加强有关的保安措施。
私隐专员亦提醒机构,当机构怀疑或发现资料外洩事故发生时,应尽快向私隐公署作出通报,让私隐公署提供协助及建议,减低资料外洩事故所造成的损害,以及改善处理个人资料的系统。
下载《调查报告:康健医疗及牙科服务有限公司病人医疗纪录遭意外弃置》:
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r22_12326_c.pdf
四间物业管理公司不当收集、保留及使用业户及访客个人资料的调查报告
过去五年,私隐公署平均每年收到百多宗有关物业管理界别的投诉。为提升物业管理业界对保障业户及访客的个人资料私隐的意识,私隐专员就近期接获的四宗有关物业管理公司的投诉,发表调查报告。
该四宗投诉涉及四间物业管理公司,分别是:-
-
昌生物业代理及管理有限公司—在公共告示板张贴 载有业主全名及地址的追收款项通告;
-
创毅物业服务顾问有限公司—在派发口罩活动中,没有复盖写有领取口罩业户姓名、地址等的共用签收表格,以致途人可清楚看到这些个人资料;物业管理公司亦没有为个人资料订立保存期限;
-
尊家管业有限公司—相关的保安员未有按公司政策,擅自将业户电话号码披露予另一业户;及
-
怡信物业管理有限公司—强制要求外卖员出示香港身份证作访客登记,才可以进入大厦。(投诉个案详情请参阅附件)
私隐专员对这四宗投诉进行调查后,发现这四间物业管理公司分别违反了《私隐条例》下保障资料原则有关个人资料的收集、保留期限、使用和保安的规定。私隐专员已向四间物业管理公司发出执行通知,指示该些公司纠正其违反事项,以及防止同类违反的行为再发生。
给物业管理界别的五项建议
私隐专员希望借此报告,对物业管理团体作出以下五项建议:
-
引入个人资料私隐管理系统,把个人资料私隐保障纳入团体的管治责任;
-
在制定涉及收集个人资料的政策或措施前,应先进行私隐影响评估,以及考虑是否有其他侵犯私隐程度较低的替代方法;
-
委任保障资料主任,确保团体遵从《私隐条例》的规定及推行私隐管理系统,建立尊重个人资料私隐的文化;
-
视业户的个人资料为物业管理团体的重要资产,针对员工的需要而提供培训;及
-
定期检讨及更新与处理个人资料相关的政策及指引,就员工日常工作程序作出有效的监察,务求员工能掌握《私隐条例》的要求。
新版本的《保障个人资料私隐—物业管理界别指引》
因应物业管理行业的最新发展,私隐公署已同步更新《保障个人资料私隐—物业管理界别指引》,内容涵盖最常见的处理个人资料范畴。
私隐专员表示:「物业管理团体应按法例和指引采纳良好的行事方式,妥善保障业户及访客的个人资料私隐,这是行业优质化和专业化不可或缺的一环。物业管理从业员抱着尊重业户及访客的个人资料私隐的意识行事,不但可以突显本身的优质服务,增强竞争力,获取住客及访客的信任,更可减少纷争和误会,缔造安居乐业的双赢局面。」
下载《调查报告:物业管理公司不当收集、保留及使用业户及访客个人资料的情况》:
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/ r22_14226_c.pdf
下载《保障个人资料私隐—物业管理界别指引》:
https://www.pcpd.org.hk//tc_chi/resources_centre/publications/files/property_c.pdf
私隐专员钟丽玲(中)、首席个人资料主任(投诉)陈美仪(左)及署理首席个人资料主任(合规及查询)郭正熙(右)介绍两份调查报告及新版本的物业管理界别指引。
私隐专员钟丽玲就康健意外弃置病人医疗纪录的调查报告,向机构作出五项建议。
-完-
附件
四间物业管理公司不当收集、保留及使用业户及访客个人资料详情
调查个案(一)
私隐公署收到投诉,指称负责管理长洲桂涛花园物业的昌生物业代理及管理有限公司(昌生)在屋苑公共地方的告示板上公开张贴一张追收业主集资款项的通告(见图2)。该通告夹附一份载有48名业主的英文全名、单位完整地址及未缴付的金额资料的名单(见图3)。
根据调查所获得的证据,私隐专员认为,昌生将有关通告个别发送到该48名业主的信箱,已可达致追收欠款的效果。再者,昌生亦无必要公开张贴该48名业主的个人资料。因此,私隐专员认为昌生在个案中违反了《私隐条例》保障资料第3(1)原则有关个人资料使用的规定。
图 2:告示板位置
图 3:节录自载有48名业主个人资料的名单(所有个人资料已被遮盖)
调查个案(二)
负责上水清河邨物业管理的创毅物业服务顾问有限公司(创毅)在协助政府派发口罩予每户居民时,要求领取口罩的住户于共用表格上提供个人资料,包括姓名、所住单位、领取口罩日期及签署(见图4)。有投诉指创毅没有为上述个人资料订立保存期限,亦未有妥善保障共用表格上的个人资料,以致当中的个人资料可清楚被途人看见。
图 4:置于员工工作台旁纸盒内的共用表格(所有个人资料已被遮盖)
就创毅在事发时并没有就共用表格中的个人资料订立保存期限,私隐专员认为其违反了《私隐条例》保障资料第2(2)原则有关个人资料保存期间的规定。
另外,就创毅没有采取所有切实可行的步骤去保障载于该签收纪录中住户的个人资料方面,私隐专员认为其违反了《私隐条例》保障资料第4(1)原则有关个人资料保安的规定。
调查个案(三)
居于筲箕湾柏汇的投诉人表示,早前收到另一名业户的来电,惟他从未向该名业户提供其电话号码。在投诉人查问下,该名业户表示其电话号码是由柏汇的一名保安员提供的。投诉人遂向私隐公署投诉负责柏汇物业管理工作的尊家管业有限公司(尊家)。
个案中的大厦保安员在事发时未有按尊家既定处理个人资料方面的政策,擅自将投诉人的电话号码披露予另一业户。这显然不符合投诉人同意其个人资料被使用的目的,亦与尊家当初收集投诉人个人资料的目的不一致。私隐专员认为,尊家违反了《私隐条例》保障资料第3(1)原则有关个人资料使用的规定。
调查个案(四)
于外卖平台公司任职送餐员的投诉人表示,早前他派送外卖至由怡信物业管理有限公司(怡信)负责物业管理的筲箕湾东旭苑时,保安员要求他必须出示其香港身份证作访客登记,且不接受投诉人提出以其他身份证明文件进行访客登记的要求(见图5)。最后,投诉人在没有出示身份证的情况下,被拒进入大厦。
图 5:东旭苑柜台的告示
身份证号码属性质敏感的个人资料,任何资料使用者都只可在符合《私隐条例》及私隐专员根据《私隐条例》发出《身份证号码及其他身份代号实务守则》(《守则》)列明的情况下,方可收集身份证号码。
在本个案中,怡信除收集香港身份证号码外,并没有提供其他较不侵犯私隐的替代方法供访客选择。私隐专员认为,此举并不符合《守则》的规定,亦同时违反了《私隐条例》保障资料第1(1)原则有关收集个人资料的规定。