个人资料私隐专员公署(私隐专员公署)今日发表两份调查报告:第一份报告是关于四宗僱主不当保留及使用僱员/前僱员个人资料的个案;第二份报告是关于Carousell用户的个人资料遭未获准许的撷取;私隐专员公署亦同时发布新版本的《人力资源管理︰常问问题》资料单张。
-
调查报告:四间机构不当保留及使用僱员/前僱员个人资料
私隐专员公署在过去五年平均每年收到百多宗有关人力资源管理方面的投诉。为促进僱主及人力资源管理人员认识他们在保障个人资料私隐方面的责任和相关的法律规定,个人资料私隐专员(私隐专员)钟丽玲就接获的四宗有关人力资源管理的投诉,今日发表调查报告。
该四宗投诉涉及四间机构,分别是:
-
医院管理局(医管局)辖下广华医院 — 员工在即时通讯软件群组中不当披露个人资料;
-
Christian Louboutin Asia Limited(Christian Louboutin) — 员工在即时通讯软件群组中不当披露个人资料;
-
星娱乐(环宇)有限公司(星娱乐) — 在前僱员离职后仍继续使用其个人资料作公司网上银行帐户的使用者;及
-
雁月中医综合中心(雁月) — 使用前僱员的旧住址填写及邮寄报税表。
(上述投诉个案详情请参阅附件)
私隐专员就上述四宗投诉进行调查后,发现医管局、Christian Louboutin及星娱乐违反了《个人资料(私隐)条例》(《私隐条例》)下保障资料第3(1)原则有关使用(包括披露)个人资料的规定,而雁月则违反了保障资料第2(1)原则有关个人资料的准确性,以及保障资料第4(1)原则有关个人资料保安的规定。私隐专员已向四间机构发出执行通知,指示该些机构纠正其违反事项,以及防止同类违反的行为再发生。
给僱主的四项建议
私隐专员希望借此报告,对僱主作出以下四项建议:
-
引入「个人资料私隐管理系统」,体现良好数据管治;
-
委任保障资料主任,推动私隐管理系统的有效运作;
-
制订个人资料私隐方面的培训策略;及
-
积极与员工沟通,从而更有效地制订切合日常处境及需要的程序、指引及培训计划。
为协助僱主及人力资源管理人员了解他们在保障个人资料私隐方面的责任及按照《私隐条例》的要求处理人力资源管理相关的个人资料,
私隐专员公署已同步更新《人力资源管理︰常问问题》资料单张,内容涵盖在人力资源管理方面与《私隐条例》相关的常问问题。
私隐专员钟丽玲表示:「人力资源管理工作往往涉及处理大量的个人资料,僱主及人力资源管理人员需要对保障个人资料私隐方面的法规和最佳行事方式有足够的认识。僱主尊重员工的个人资料私隐,有助建立良好的僱佣关系,而这样亦能够提升员工对机构的信任,达致双嬴的局面。」
下载《调查报告:僱主不当保留及使用僱员/前僱员个人资料》:
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r23_18465_c.pdf
下载《人力资源管理︰常问问题》资料单张:
https://www.pcpd.org.hk//tc_chi/resources_centre/publications/files/Some_Common_Question_Chi.pdf
-
调查报告:Carousell用户的个人资料遭未获准许的撷取
私隐专员公署已经完成对Carousell Limited一宗资料外洩事故的调查,并于今日发表调查报告。事件源于Carousell Limited向公署通报资料外洩事故,指一个网上论坛声称可出售 260 万名Carousell 用户的个人资料,包括324,232个香港用户帐号的个人资料外洩。 Carousell Limited表示该资料外洩事故源于2022 年 1 月系统迁移过程中出现的一个保安漏洞。
根据调查所获得的证据,私隐专员钟丽玲认为事件是源于Carousell以下的缺失导致:
-
未有在系统迁移前进行私隐影响评估;
-
不全面的编码复检程序;
-
与系统迁移有关的安全评估有缺失;
-
欠缺与编码复检程序相关的书面政策;及
-
欠缺有效的侦测措施。
虽然Carousell Limited在事发时是使用由Carousell集团中央化模式下的资讯系统及资料库,但Carousell Limited作为资料使用者仍有确切责任保障由其控制的个人资料的安全。在考虑本个案所有证据后,私隐专员认为Carousell Limited须为下列缺失负责:
-
没有查核在相关系统迁移进行前有否进行私隐影响评估;
-
没有查核在相关应用程式介面推出前有否进行全面的编码复检程序;
-
没有确保Carousell有否就相关系统迁移进行全面的安全评估;
-
没有查核Carousell有否制订与编码复检程序相关的书面政策;及
-
没有确保Carousell已采取有效措施侦测异常活动,导致未能防止或侦测Carousell 用户的个人资料从相关应用程式介面被撷取的情况。
考虑到Carousell广泛的国际业务及服务的庞大活跃用户数量,公众会合理地期望Carousell集团(包括香港的Carousell Limited)投入足够资源确保其资讯系统的稳健安全。然而,相关资料外洩事件揭示了Carousell在保障由其集团持有的个人资料的安全方面犯了根本性的失误,实令人非常失望;私隐专员认为若当时有实施一般风险及安全评估及措施,相关事件应可避免发生。私隐专员对有关失误导致260 万名Carousell全球用户的个人资料及超过32万名香港用户的帐号遭到外洩表示遗憾。
基于上述原因,私隐专员认为 Carousell Limited没有采取所有切实可行的步骤确保涉事的个人资料受到保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,因而违反了保障资料第 4(1)原则有关个人资料保安的规定。
私隐专员已向Carousell Limited送达执行通知,指示Carousell Limited纠正其违反事项,以及防止有关违规情况再次发生。
私隐专员亦希望借此报告,就个人资料的资讯系统迁移,向机构作出以下建议,以加强数据安全:
-
进行私隐影响评估,特别是当系统或行事方式出现重大改变及引入新科技时进行有关评估;
-
制订确保数据安全的迁移计划;
-
进行有效的漏洞评估;
-
提供相关的员工培训;
-
实施有效的检测机制侦测异常活动;及
-
制订地区性政策及程序,确保遵从《私隐条例》的规定。
此外,由于Carousell集团的总部位于新加坡,私隐专员公署已根据与新加坡个人资料保护委员会签订的谅解备忘录,向新加坡个人资料保护委员会提供了是次调查的报告。
下载《调查报告:Carousell用户的个人资料遭未获准许的撷取》:
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r23_0665_c.pdf
私隐专员钟丽玲讲解《调查报告:僱主不当保留及使用僱员/前僱员个人资料》。
私隐专员钟丽玲(中)、助理个人资料私隐专员(投诉及刑事调查)关启宇(左)及高级个人资料主任(合规及查询)卢浩荣(右)发表两份调查报告。
-完-
附件
四间机构不当保留及使用僱员/前僱员个人资料的详情
调查个案(一)
投诉人为医院管理局(医管局)辖下广华医院的员工。投诉人先后两次透过即时通讯软件直接向部门经理告假,并于讯息中提及他的病况(见图一)。其后,投诉人的直属上司把该两则讯息,转发至由47名与投诉人属同一部门的员工的通讯群组(见图二及三)。
投诉人不满其上司把该两则讯息转发到通讯群组,导致其病况不必要地被披露予群组的成员。
医管局收集投诉人的病假资料,明显是为了处理与投诉人病假申请及调配人手有关的事宜。在保障资料第3原则的规定下,除非得到投诉人的订明同意,否则医管局只可将投诉人的病假资料使用于上述目的或与此直接有关的目的。
根据调查所获得的证据,私隐专员认为,向员工通讯群组的成员披露投诉人的病况,超出了原来的资料使用目的(即处理与投诉人病假申请及安排调配人手)所需,由于如此披露个人资料并不属原来的资料使用目的或直接有关的目的,构成将有关资料使用于新目的,而医管局并未就此取得投诉人的订明同意,故医管局在本个案中违反了保障资料第3(1)原则有关个人资料使用的规定。
图一
(个案中的个人资料已被遮盖)
图二
(个案中的个人资料已被遮盖)
图三
(个案中的个人资料已被遮盖)
调查个案(二)
投诉人受僱于Christian Louboutin Asia Limited(Christian Louboutin)期间,曾向上司递交一张医疗证明书,及透过即时通讯软件提供一张医生证明书。投诉人的上司将拍摄了医疗证明书的照片发送至一个约有14名成员的工作群组(见图四),并将医生证明书转发至另一个约有10名成员的工作群组(见图五)。投诉人不满上司将该些资料向相关工作群组职员披露。
投诉人向上司提供医疗证明书以说明其身体情况令他不可以处理某类工作,而医生证明书则是病假申请的证明文件。根据保障资料第3原则,除非得到投诉人的订明同意,否则Christian Louboutin只可将两份证明书中所载有关投诉人的个人资料,分别使用于因应投诉人的情况而调整工作安排、处理病假申请,以及因为有关缺勤情况作出人手调配安排的目的,或与此直接有关的目的。
在对个案进行调查后,私隐专员认为,有关群组的成员无需知悉投诉人的身体状况,Christian Louboutin在本个案中如此使用关于投诉人身体状况的资料,与当初收集该等资料的目的(包括直接有关目的)不符,构成了使用有关资料于新目的。在没有取得投诉人订明同意(即投诉人自愿给予的明示同意)的情况下,Christian Louboutin的做法违反了保障资料第3(1)原则有关个人资料使用的规定。
图四
(个案中的个人资料已被遮盖)
图五
(个案中的个人资料已被遮盖)
调查个案(三)
投诉人是星娱乐(环宇)有限公司(星娱乐)的前会计员工。投诉人表示在他任职星娱乐时,一间星娱乐的关连公司于银行开立帐户(该帐户),他知悉星娱乐登记他成为企业网上银行的使用者之一,以便他使用网上银行服务操作该帐户。然而,投诉人离职后,投诉人仍不时于手提电话号码收到银行向他发出关于该帐户的短讯提示(见图六),他曾就此多次要求星娱乐停止使用他的个人资料作相关用途,但未获跟进。投诉人遂向个人资料私隐专员公署作出投诉。
作为投诉人的僱主,星娱乐当初自投诉人收集个人资料,固然是为了处理僱佣事务。在使用有关个人资料方面,星娱乐只可使用投诉人的个人资料(包括其私人电话号码)于处理僱佣事务、与此直接有关的目的,或投诉人所同意的新目的。
个案中虽然投诉人曾同意星娱乐将其个人资料使用于登记该帐户的网上银行,惟在投诉人离职并且不再就此继续给予同意后,星娱乐在没有投诉人的订明同意(即自愿给予的明示同意)下继续使用投诉人的个人资料登记该帐户的网上银行,私隐专员认为,星娱乐的做法违反了保障资料第3(1)原则有关个人资料使用的规定。
调查个案(四)
雁月中医综合中心(雁月)于投诉人在职期间,根据投诉人的指示更新其住址纪录。离职后,投诉人一直没有收到雁月邮寄给他的「僱主填报的薪酬及退休金报税表」(该报税表)。其后投诉人发现该报税表中填写了他的旧住址(见图七),其副本亦被邮寄到投诉人的旧住址。
《个人资料(私隐)条例》附表1的保障资料第2(1)原则订明,资料使用者须采取所有切实可行的步骤,以确保在顾及有关的个人资料被使用于或会被使用于的目的(包括任何直接有关的目的)下,该个人资料是准确的。
该报税表是由一间秘书公司代为填写。雁月在提供报税用档案予秘书公司时,没有发现该档案中所载的是投诉人的旧住址,而职员在寄送该报税表副本时亦直接使用表格上所示住址(即旧住址)作邮寄用途。私隐专员认为雁月在处理税务及向投诉人提供有关税务文件的副本时,均没有采取所有切实可行的步骤确保所使用的投诉人的住址是准确的,因而违反了保障资料第2(1)原则有关确保个人资料准确的规定。
事件中将该报税表副本寄往投诉人旧住址,令该报税表中的个人资料有机会落入不明人士手中,导致当中投诉人的个人资料,包括姓名、身份证号码及薪金资料有被外洩的风险。私隐专员认为,雁月没有采取所有切实可行的步骤去保障载于该报税表中投诉人的个人资料,防止该些个人资料受到未获准许的或意外的查阅、处理、丧失或使用所影响,同时违反了保障资料第4(1)原则有关个人资料保安的规定。