新聞稿
私隐专员公署发表机电工程署资料外泄事故及 雇主透过JobsDB刊登匿名招聘广告的调查结果
日期: 2024年12月9日
私隐专员公署发表机电工程署资料外洩事故及
4. 没有适当跟进承办商删除资料,机电署只假定承办商在相关合约结束后会自行采取行动,却从没有督促、查核或提醒承办商删除该电子表格平台上的个人资料,亦从没有了解或监察承办商有关行动的进度或成效。机电署作为资料使用者,决不能只是被动地等待承办商采取行动,或因信赖承办商而不去查核其实际的工作情况,此属另一明显缺失。
面对严峻的疫情,私隐专员钟丽玲理解参与检疫工作的部门需要迅速部署并执行行动。由于时间紧迫,机电署在筹划及展开强检行动时或许未及考虑日后删除个人资料的政策及安排。然而,由始至终,机电署一直没有就相关个人资料保存期限制订政策,亦未有清楚向承办商提出删除资料的要求,机电署在完成强检行动后,也没有主动采取相应的行动删除或跟进及查核承办商删除个人资料的工作,令相关的个人资料被不必要地暴露于资料外洩的风险中,做法明显未能符合《个人资料(私隐)条例》(《私隐条例》)的要求,亦亏负了公众的合理期望,情况令人遗憾。因此,私隐专员裁定机电署:
附录二
八间招聘机构涉及在JobsDB平台刊登匿名招聘广告的详情
私隐专员公署发表机电工程署资料外洩事故及
僱主透过JobsDB刊登匿名招聘广告的调查结果
个人资料私隐专员公署(私隐专员公署)今日发表两份调查结果:第一份是关于机电工程署个人资料外洩事故,第二份是关于僱主透过网上招聘平台Jobs DB Hong Kong Limited (JobsDB)刊登匿名招聘广告的个案。
(1)机电工程署(机电署)个人资料外洩事故
调查源于机电署于2024年5月1日向私隐专员公署通报资料外洩事故,表示怀疑由其持有的市民个人资料外洩,当中涉及在2022年「限制与检测宣告」行动(「强检行动」)中受检测人士的个人资料 (「外洩事件」)。
背景
机电署在2022年3至7月期间共执行了14次强检行动,对分别处于14座大厦内的居民/访客进行2019冠状病毒病检测(见附录一)。为收集强检行动中受检测市民的资料,机电署向承办商采购并使用云端平台ArcGIS Online附设的电子表格平台(「该电子表格平台」)制作了14张电子表格作记录,而相关的电子表格及资料会被储存在ArcGIS Online云端平台数据储存库中。
机电署于2022年底知悉强检行动告一段落后,随即通知有关承办商于2023年2月底合约届满后不再就该电子表格平台的服务续约。根据机电署,机电署认为在合约届满后,该电子表格平台的帐户便会失效,而有关资料亦会被承办商自动删除。直至2024年4月30日,经私隐专员公署通知机电署,机电署才得知强检行动中受检测市民的个人资料可在毋须输入帐户及密码的情况下在ArcGIS Online云端平台的相关网址被浏览,遂立即要求承办商同日从该电子表格平台中移除涉事的个人资料,令公众不能再浏览有关资料,并于翌日向私隐专员公署通报。
受外洩事件影响的受检测人士数目超过17,000人,所涉及的个人资料包括姓名、地址、香港身份证号码、电话号码、年龄、性别、有否接种新冠疫苗、是否核酸检测阳性及确诊日期等。
根据机电署所提供的资料,外洩事件发生后,机电署致力从事件中汲取教训,采取了一系列的措施及行动,包括强化私隐管理、全面检视处理个人资料的工作及指引、加强员工培训及承办商监管,以及优化部门电脑支援系统,以建立更稳健的私隐保安框架及保障个人资料企业文化。
调查结果
私隐专员公署就外洩事件向机电署进行了五次查讯,亦两度去信要求承办商就外洩事件提供相关资料。私隐专员公署感谢机电署及承办商配合调查,并提供所要求的资讯及文件。经考虑外洩事件的情况及调查所获得的资料,个人资料私隐专员(私隐专员)钟丽玲认为机电署的以下缺失是导致外洩事件发生的主因:—
1. 没有就强检行动所收集的个人资料保存期限制订书面政策,为资料的存废提供明确依据。纵使机电署或未能于强检行动展开之前或期间订立个人资料的保存期限或订定相关的资料保存政策,但机电署由始至终仅依靠于2022年底已通知承办商不再续约,作为实际上已为资料设定保存期限的根据,却一直没有透过书面政策订定上述资料的保存期限。有关的书面政策可为资料的存废提供明确依据,有其重要作用。
特别在本个案中,所涉的资料属敏感的个人资料,当中不但有市民的姓名、年龄、性别、详细地址、电话号码,还包含其香港身份证号码及核酸检测资料,而受影响的市民超过17,000人,故此机电署更应对有关资料的处理提高警觉、格外小心;
2. 未有清楚向承办商提出删除相关资料的要求,即使机电署于2022年底知悉强检行动告一段落,但于通知承办商不再续约的过程中,并无明确向承办商提出删除涉事的个人资料的要求。事实上,机电署在2024年4月30日得知外洩事件后,才要求承办商于同日从该电子表格平台中移除涉事的个人资料,而相关资料在当晚已被移除,令公众不能再浏览有关资料。由此可见,机电署只需向承办商提出要求,有关资料便可被移除。
私隐专员认为,署方在通知承办商不再续约时,向承办商提出删除涉事资料的要求,属有效且切实可行保障个人资料的步骤,惟机电署未有采取此行动;
(1)机电工程署(机电署)个人资料外洩事故
调查源于机电署于2024年5月1日向私隐专员公署通报资料外洩事故,表示怀疑由其持有的市民个人资料外洩,当中涉及在2022年「限制与检测宣告」行动(「强检行动」)中受检测人士的个人资料 (「外洩事件」)。
背景
机电署在2022年3至7月期间共执行了14次强检行动,对分别处于14座大厦内的居民/访客进行2019冠状病毒病检测(见附录一)。为收集强检行动中受检测市民的资料,机电署向承办商采购并使用云端平台ArcGIS Online附设的电子表格平台(「该电子表格平台」)制作了14张电子表格作记录,而相关的电子表格及资料会被储存在ArcGIS Online云端平台数据储存库中。
机电署于2022年底知悉强检行动告一段落后,随即通知有关承办商于2023年2月底合约届满后不再就该电子表格平台的服务续约。根据机电署,机电署认为在合约届满后,该电子表格平台的帐户便会失效,而有关资料亦会被承办商自动删除。直至2024年4月30日,经私隐专员公署通知机电署,机电署才得知强检行动中受检测市民的个人资料可在毋须输入帐户及密码的情况下在ArcGIS Online云端平台的相关网址被浏览,遂立即要求承办商同日从该电子表格平台中移除涉事的个人资料,令公众不能再浏览有关资料,并于翌日向私隐专员公署通报。
受外洩事件影响的受检测人士数目超过17,000人,所涉及的个人资料包括姓名、地址、香港身份证号码、电话号码、年龄、性别、有否接种新冠疫苗、是否核酸检测阳性及确诊日期等。
根据机电署所提供的资料,外洩事件发生后,机电署致力从事件中汲取教训,采取了一系列的措施及行动,包括强化私隐管理、全面检视处理个人资料的工作及指引、加强员工培训及承办商监管,以及优化部门电脑支援系统,以建立更稳健的私隐保安框架及保障个人资料企业文化。
调查结果
私隐专员公署就外洩事件向机电署进行了五次查讯,亦两度去信要求承办商就外洩事件提供相关资料。私隐专员公署感谢机电署及承办商配合调查,并提供所要求的资讯及文件。经考虑外洩事件的情况及调查所获得的资料,个人资料私隐专员(私隐专员)钟丽玲认为机电署的以下缺失是导致外洩事件发生的主因:—
1. 没有就强检行动所收集的个人资料保存期限制订书面政策,为资料的存废提供明确依据。纵使机电署或未能于强检行动展开之前或期间订立个人资料的保存期限或订定相关的资料保存政策,但机电署由始至终仅依靠于2022年底已通知承办商不再续约,作为实际上已为资料设定保存期限的根据,却一直没有透过书面政策订定上述资料的保存期限。有关的书面政策可为资料的存废提供明确依据,有其重要作用。
特别在本个案中,所涉的资料属敏感的个人资料,当中不但有市民的姓名、年龄、性别、详细地址、电话号码,还包含其香港身份证号码及核酸检测资料,而受影响的市民超过17,000人,故此机电署更应对有关资料的处理提高警觉、格外小心;
2. 未有清楚向承办商提出删除相关资料的要求,即使机电署于2022年底知悉强检行动告一段落,但于通知承办商不再续约的过程中,并无明确向承办商提出删除涉事的个人资料的要求。事实上,机电署在2024年4月30日得知外洩事件后,才要求承办商于同日从该电子表格平台中移除涉事的个人资料,而相关资料在当晚已被移除,令公众不能再浏览有关资料。由此可见,机电署只需向承办商提出要求,有关资料便可被移除。
私隐专员认为,署方在通知承办商不再续约时,向承办商提出删除涉事资料的要求,属有效且切实可行保障个人资料的步骤,惟机电署未有采取此行动;
3. 没有自行主动删除涉事的个人资料,特别是在2022年12月底通知承办商不再续约,直至2023年2月底合约届满期间,虽然机电署仍有权限登入该电子表格平台管理当中的个人资料,但机电署只是等待与承办商的相关合约结束,并无主动采取行动自行查核及删除平台上的个人资料,以避免不必要地或过长地保存个人资料,此属一明显缺失;及
4. 没有适当跟进承办商删除资料,机电署只假定承办商在相关合约结束后会自行采取行动,却从没有督促、查核或提醒承办商删除该电子表格平台上的个人资料,亦从没有了解或监察承办商有关行动的进度或成效。机电署作为资料使用者,决不能只是被动地等待承办商采取行动,或因信赖承办商而不去查核其实际的工作情况,此属另一明显缺失。
面对严峻的疫情,私隐专员钟丽玲理解参与检疫工作的部门需要迅速部署并执行行动。由于时间紧迫,机电署在筹划及展开强检行动时或许未及考虑日后删除个人资料的政策及安排。然而,由始至终,机电署一直没有就相关个人资料保存期限制订政策,亦未有清楚向承办商提出删除资料的要求,机电署在完成强检行动后,也没有主动采取相应的行动删除或跟进及查核承办商删除个人资料的工作,令相关的个人资料被不必要地暴露于资料外洩的风险中,做法明显未能符合《个人资料(私隐)条例》(《私隐条例》)的要求,亦亏负了公众的合理期望,情况令人遗憾。因此,私隐专员裁定机电署:
- 没有采取所有切实可行的步骤,以确保个人资料的保存时间不超过使用该资料实际所需的时间,因此违反了《私隐条例》的保障资料第2(2)原则有关个人资料保存期限的规定;及
- 没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,因而违反了《私隐条例》的保障资料第4(1)原则有关个人资料保安的规定。
私隐专员已向机电署送达执行通知,指示其采取措施纠正违规事项,以及防止类似违规情况再次发生。
下载《机电工程署个人资料外洩事故》调查结果:
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r24_06502_c.pdf
(2)八间机构透过JobsDB刊登匿名招聘广告
私隐专员公署关注有机构透过网上招聘平台刊登匿名招聘广告以收集求职者个人资料的情况可能涉及违反《私隐条例》的相关规定。私隐专员公署早前启动对Jobs DB及八间涉及在JobsDB刊登匿名招聘广告的机构的调查,并于今日发表调查结果。
一般而言,匿名招聘广告即广告中没有披露招聘机构(僱主或其委讬的招聘代理)的名称或提供足够资料以辨识相关机构的身分,以及没有向求职者提供方式联络机构以获取进一步资料或联络方式未有提供足够的资料以辨识机构的身分,却直接要求求职者递交个人资料,例如香港身份证号码、联络资料或履历等。
调查发现,在JobsDB登记开立帐户的机构可透过其帐户刊登广告进行招聘。自2024年1月起,求职者可根据广告的指示,按「Quick apply」键递交申请并提供所要求的个人资料,一经递交后资料会被存放在JobsDB的管理系统,求职者有权要求JobsDB从相关管理系统删除其个人资料,而JobsDB亦可控制机构在甚么情况及时限下阅览相关资料。
在此情况下, JobsDB控制了求职者的个人资料的收集、持有、处理(包括删除)及使用,因而属《私隐条例》下的「资料使用者」,必须遵从《私隐条例》及相关保障资料原则的规定。
另一方面,调查亦发现招聘机构可以用「私人广告商」(即「Private Advertiser」)的名义刊登招聘广告而不披露机构的名称。八间招聘机构在今次调查中透过JobsDB以「私人广告商」名义刊登匿名招聘广告(见附录二),收集求职者的个人资料。涉事的八间招聘机构亦属《私隐条例》下的「资料使用者」,业务性质涵盖证券、服装零售、中医药及运输服务等,当中除涉及准僱主外,亦有部分是代表准僱主刊登广告。
经考虑个案的事实及调查所获得的资料,私隐专员钟丽玲裁定八间招聘机构在JobsDB平台上刊登上述匿名招聘广告,要求求职者向不知名的招聘机构提供个人资料,以及JobsDB透过其平台刊登该些广告,两者同样涉及不公平地收集求职者的个人资料,因而违反《私隐条例》的保障资料第1(2)原则的规定。私隐专员已向JobsDB及三间招聘机构发出执行通知,指示相关机构纠正其违反事项,以及防止同类违反的行为再发生,亦向余下五间机构发出劝喻信。
私隐专员亦希望借此调查结果,促请其他网上招聘平台的营运商:
下载《机电工程署个人资料外洩事故》调查结果:
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r24_06502_c.pdf
(2)八间机构透过JobsDB刊登匿名招聘广告
私隐专员公署关注有机构透过网上招聘平台刊登匿名招聘广告以收集求职者个人资料的情况可能涉及违反《私隐条例》的相关规定。私隐专员公署早前启动对Jobs DB及八间涉及在JobsDB刊登匿名招聘广告的机构的调查,并于今日发表调查结果。
一般而言,匿名招聘广告即广告中没有披露招聘机构(僱主或其委讬的招聘代理)的名称或提供足够资料以辨识相关机构的身分,以及没有向求职者提供方式联络机构以获取进一步资料或联络方式未有提供足够的资料以辨识机构的身分,却直接要求求职者递交个人资料,例如香港身份证号码、联络资料或履历等。
调查发现,在JobsDB登记开立帐户的机构可透过其帐户刊登广告进行招聘。自2024年1月起,求职者可根据广告的指示,按「Quick apply」键递交申请并提供所要求的个人资料,一经递交后资料会被存放在JobsDB的管理系统,求职者有权要求JobsDB从相关管理系统删除其个人资料,而JobsDB亦可控制机构在甚么情况及时限下阅览相关资料。
在此情况下, JobsDB控制了求职者的个人资料的收集、持有、处理(包括删除)及使用,因而属《私隐条例》下的「资料使用者」,必须遵从《私隐条例》及相关保障资料原则的规定。
另一方面,调查亦发现招聘机构可以用「私人广告商」(即「Private Advertiser」)的名义刊登招聘广告而不披露机构的名称。八间招聘机构在今次调查中透过JobsDB以「私人广告商」名义刊登匿名招聘广告(见附录二),收集求职者的个人资料。涉事的八间招聘机构亦属《私隐条例》下的「资料使用者」,业务性质涵盖证券、服装零售、中医药及运输服务等,当中除涉及准僱主外,亦有部分是代表准僱主刊登广告。
经考虑个案的事实及调查所获得的资料,私隐专员钟丽玲裁定八间招聘机构在JobsDB平台上刊登上述匿名招聘广告,要求求职者向不知名的招聘机构提供个人资料,以及JobsDB透过其平台刊登该些广告,两者同样涉及不公平地收集求职者的个人资料,因而违反《私隐条例》的保障资料第1(2)原则的规定。私隐专员已向JobsDB及三间招聘机构发出执行通知,指示相关机构纠正其违反事项,以及防止同类违反的行为再发生,亦向余下五间机构发出劝喻信。
私隐专员亦希望借此调查结果,促请其他网上招聘平台的营运商:
- 慎防任何人利用匿名招聘广告进行诈骗行为或不公平地收集个人资料;及
- 小心审视接获的广告,以识别及避免刊登匿名招聘广告,保障市民的个人资料私隐。
私隐专员公署重申,匿名招聘广告有机会被用作不当收集个人资料的手法,亦可能让不法之徒利用相关广告收集个人资料作诈骗用途。求职人士在未能确定僱主身分的情况时应小心查证,切勿随便回复匿名广告并提供个人资料。 若市民就匿名招聘广告有任何查询或投诉,请联络私隐专员公署(电话:2827 2827、电邮:communications@pcpd.org.hk/complaints@pcpd.org.hk)。
为保障求职者的个人资料及展示正面的企业形象,私隐专员公署呼吁刊登招聘广告的僱主:
为保障求职者的个人资料及展示正面的企业形象,私隐专员公署呼吁刊登招聘广告的僱主:
- 增加广告的透明度,披露机构的身分;
- 避免刊登匿名招聘广告收集求职者的个人资料;及
- 如有需要,僱主亦可考虑委讬招聘代理代为收集求职者的个人资料,并在招聘广告中述明招聘代理的身分。
下载《八间机构透过JobsDB刊登匿名招聘广告》的调查结果:
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r24_03031_c.pdf
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r24_03031_c.pdf
私隐专员钟丽玲讲解机电署资料外洩事故的调查结果。
私隐专员钟丽玲讲解机电署资料外洩事故的调查结果。
私隐专员钟丽玲(中)、助理个人资料私隐专员(投诉及刑事调查)何芹若(左)及高级律师吴颖轩(右)发表机电署资料外洩事故及僱主透过JobsDB刊登匿名招聘广告的调查结果。
-完-
私隐专员钟丽玲(中)、助理个人资料私隐专员(投诉及刑事调查)何芹若(左)及高级律师吴颖轩(右)发表机电署资料外洩事故及僱主透过JobsDB刊登匿名招聘广告的调查结果。
-完-
附录一
涉事14座大厦强检行动的相关日期、楼宇名称及人数资料
涉事14座大厦强检行动的相关日期、楼宇名称及人数资料
| 行动日期 | 地点 | 涉及人数 |
|---|---|---|
| 3-4 / 3 / 2022 | 德朗邨 德莹楼 | 1,506 |
| 6-7 / 3 / 2022 | 启晴邨 欣晴楼 | 1,451 |
| 9-10 / 3 / 2022 | 友爱邨 爱明楼 | 1,608 |
| 14-15 / 3 / 2022 | 富昌邨 富良楼 | 210 |
| 17-18 / 3 / 2022 | 湖景邨 湖晖楼 | 1,330 |
| 19-20 / 3 / 2022 | 蝴蝶邨 蝶影楼 | 1,348 |
| 21-22 / 3 / 2022 | 安达邨 善达楼 | 1,966 |
| 23-24 / 3 / 2022 | 东头(二)邨 伟东楼 | 285 |
| 25-26 / 3 / 2022 | 广福邨 广惠楼 | 1,010 |
| 30/3 - 1/4/2022 | 博康邨 博逸楼 | 1,823 |
| 12-13 / 4 / 2022 | 祥华邨 祥丰楼 | 939 |
| 3-4 / 5 / 2022 | 明德邨 明道楼 | 1,582 |
| 30-31 / 5 / 2022 | 元洲邨 元盛楼 | 469 |
| 4-5 / 7 / 2022 | 凤德邨 黛凤楼 | 1,798 |
| 合计 | 17,325 |
附录二
八间招聘机构涉及在JobsDB平台刊登匿名招聘广告的详情
| 广告 | 涉及的机构 | 广告中与匿名招聘广告定义有关的内容 |
| 1 | 公司A |
|
| 2 | 公司B |
|
| 3 |
公司C (就另一公司的职位提供招聘协助) |
|
| 4 | 公司D |
|
| 5 | 公司E(代同一集团的另一公司招聘) |
|
| 6 | 公司F(代由公司领导层担任主席的团体招聘) |
|
| 7 | 公司G |
|
| 8 | 公司H |
|