个人资料私隐专员公署已经完成对选举事务处两宗个人资料外洩事故的调查,并于今日发表调查报告。
调查个案(一):选举事务处职员错误地把载有选民资料的档案以电邮发送至不明收件人
事件(一)发生之时正值本地第五波2019冠状病毒病疫情肆虐,当时选举事务处作出特别在家工作安排,把职员分成不同组别交替在家工作,以减少社交接触。涉案的文书主任(该文书主任)获安排在某些日子在家工作。
2022年3月23日晚上7时左右,该文书主任拟把两个载有约15,000名选民登记资料(包括中英文姓名及住址资料)的试算表档案(该两个档案)传送至其私人电邮帐户,以方便她翌日在家工作。然而该文书主任却输入了错误的电邮地址,导致该两个档案被传送至不明收件人。该文书主任留意到她传送的电邮在十多分钟后仍未送达她的私人电邮帐户,才发现出错,并立刻将情况通知助理选举事务主任。
根据调查所获得的证据,个人资料私隐专员(私隐专员)认为以下原因导致是次资料外洩事故:
1. 选举事务处职员没有遵从部门有关资讯科技保安的指引;
2. 选举事务处职员的资料保障意识不足;及
3. 选举事务处的资讯保安措施不足。
私隐专员钟丽玲经调查后认为这宗个案主要涉及人为错误。资料外洩事故源于个别职员的疏忽和缺乏资料保障意识,以致违反选举事务处有关资讯科技保安的指引,包括「仅使用部门的电邮系统以电邮方式传送保密资料」及「不可使用个人电邮帐户处理公务或传送保密资料或个人资料」。有关职员在没有充分考虑所涉及的安全风险及未有仔细核对收件人的电邮地址的情况下,单纯地为方便在家工作而将载有大量个人资料的电邮发送到选举事务处电邮系统以外的错误电邮地址。另一方面,私隐专员发现选举事务处在事发前并未设置适当的资讯保安措施,令职员可随意将载有个人资料的档案透过选举事务处的电邮系统发送到其电邮系统以外的私人电邮地址,亦是这宗个案发生的肇因。
调查个案(二):选举事务处错误地将一名选举委员会委员送交的回条夹附在测试电邮内
事件(二)在选举事务处准备举行2022年行政长官选举(该选举)时发生。为准备该选举,选举事务处计划于2022年4月27日发送测试短讯及/或电邮给已提供流动电话号码及/或电邮地址的选委及/或其助理,以确保他们能接收与选举有关的资讯。
选举事务处在收到选委及其助理提供的联络资料回条后,以人手将回条上涉及约1,800名选委及其助理的资料输入至一份电脑资料总表(该资料总表)。可是,于计划发送测试电邮当日(即2022年4月27日)作出多次核对后仍发现该资料总表存在不准确的资料,负责监督是次发送测试电邮(及短讯)的工作的高级项目主任(该高级项目主任)遂指示职员分批次核对电邮地址及发送测试电邮。
为方便核对,负责发送测试电邮的行政助理把电脑萤幕分为左右两边视窗,左边显示测试电邮拟稿,而右边则显示电子版回条。行政助理使用键盘的上下箭头键选择相应的回条(以预览视窗方式显示),逐一核对已输入至测试电邮拟稿「副本密送」栏内的电邮地址。其后一名选举事务主任及该高级项目主任会于行政助理的电脑分别进行第二及第三次检查。只有在该高级项目主任以电子版回条复核有关电邮地址及确定测试电邮内容无误后,行政助理才会按下「传送」键发送有关电邮。
为加快程序,该高级项目主任指示自第四批次起省略第二次检查。
直至2022年4月28日早上,职员在复核已发出的测试电邮时,发现一个于上午4时42分发送予38名选委及26名选委助理的电邮,错误夹附了附有一名选委及其助理个人资料的回条,当中载有该名选委及其助理的姓名、电邮地址、电话号码,以及该名选委的签署。
根据调查所获得的证据,私隐专员认为以下原因导致是次资料外洩事故:
1. 选举事务处职员疏忽及资料保障的意识不足;
2. 选举事务处的工作流程明显存有不足;及
3. 相关工作欠缺书面程序。
私隐专员经调查后认为这宗个案主要是由人为错误所引起。这宗个案是由于相关职员的疏忽及缺乏资料保障的意识,以及选举事务处相关工作流程的不足所导致。在这宗个案当中,不准确的资料总表明显地导致了工作流程的突然改变,以致职员须在午夜之后对测试电邮拟稿中的电邮地址与电子版回条进行最后一刻的核对。私隐专员认为如果选举事务处备有恰当的工作流程,以确保该资料总表能适时及准确地备妥,有关职员则毋须在时间紧迫下进行最后一刻的人手核对,亦毋须利用不稳妥的方式进行核对;同时,如果相关职员在核对的过程中更为谨慎,应可避免这宗个案的发生。
另一方面,选举事务处没有就发送测试电邮的机制,包括核对步骤制定任何书面程序,从而增加了人为偏差及未有依循所需步骤的风险。私隐专员理解选举事务处职员进行最后一刻的核对时所面对的压力,但书面程序的欠缺无可避免地增加了人为错误的风险,尤其是考虑到当职员须长时间工作,以及为了加快整个工作流程而省略了第二次检查,以致削弱了原先三层检查机制的有效性。
综合而言,私隐专员钟丽玲认为:「两宗个案突显选举事务处没有采取所有切实可行的步骤以确保个人资料受到保障,而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,我因而裁定选举事务处违反了《个人资料(私隐)条例》保障资料第 4(1)原则有关个人资料保安的规定。」
私隐专员已向选举事务处送达两份执行通知,指示选举事务处纠正以及防止有关违规情况再发生,包括要求选举事务处采取技术性保安措施管控电邮系统的使用,检视并改善收集选委个人资料及发送大量附有个人资料的电邮的工作流程,及加强有关资讯保安及个人资料保障的培训等。
除此之外,私隐专员乐见选举事务处致力从事件中汲取教训。在两宗事故发生后,选举事务处已加强保安措施及检视相关的处理个人资料的工作流程,以加强个人资料私隐的保障。
私隐专员亦希望借此报告,向持有大量个人资料的机构作出以下建议:
1. 贯彻落实个人资料私隐管理系统;
2. 就非常规的工作安排进行私隐风险评估并制订具针对性的指引;
3. 建立有效的个人资料保安教育及培训计划;及
4. 使用资讯保安措施以减少人为错误的风险。
下载《调查报告:选举事务处两宗资料外洩事故》:
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r22_4116_c.pdf
-完-