最新消息

个人资料私隐专员公署（私隐公署）今日（2月17日）发表2021年的工作报告，以及一份调查报告。

投诉个案

私隐公署在2021年收到的投诉个案为3,151宗，比2020年的4,862宗下跌35%，主要是由于「起底」个案及源于单一事件的投诉个案有所减少。93%的投诉个案涉及投诉私营机构或个别人士；其余7%涉及投诉公共机构或政府部门。

外洩个人资料事故

在2021年私隐公署接获机构通报外洩个人资料事故的数目为140宗，较去年增加36%。资料外洩事故涉及黑客入侵、系统设定有误、僱员未经授权查阅系统、遗失文件或便携式装置、经电邮或邮递方式意外披露个人资料，以及意外销毁个人资料等。

私隐公署于2021年进行了377次循规审查，较2020年的344次增加10%。

修订《个人资料（私隐）条例》以打击「起底」行为
 
为加强打击侵犯个人资料私隐的「起底」行为，《2021年个人资料（私隐）（修订）条例》（《修订条例》）于2021年10月8日生效，将「起底」行为刑事化，并赋予私隐专员就有关罪行的刑事调查及检控权。

私隐公署于2021年12月13日，就一宗涉嫌违反《修订条例》第64(3A)条「在未获同意下披露个人资料」的罪行展开首次拘捕行动。

私隐公署于2021年共处理842宗「起底」的个案，当中包括接获投诉或主动发现的个案。2021年的个案比2020年的1,036宗减少19%。《修订条例》赋予私隐专员法定权力要求停止披露「起底」讯息，私隐公署于《修订条例》生效后，至2022年1月31日向12个平台发出超过350个停止披露通知，涉及超过1,700个「起底」信息。

除了执法外，私隐公署亦已展开一系列的宣传及教育活动，以提高公众对《修订条例》的认识及遵从相关规定，包括播放短片、电视宣传片及电台广播、派发宣传单张及海报、举办网上讲座、在社交平台宣传等。截至2022年1月31日，私隐专员及私隐公署同事已进行了16场有关《修订条例》的讲座，共2,668人次参加。

个人资料私隐专员（私隐专员）钟丽玲强调：「市民在网上或社交平台发布或转载任何看来是『起底』的讯息前，都要三思，切勿以身试法。」
 
调查报告
 
另一方面，私隐公署已经完成对日经中国（香港）有限公司（日经）的电邮系统遭黑客入侵的调查，并于今日发表调查报告。事件源于2021年3月17日私隐公署收到日经的资料外洩事故通报，指其六个员工的电邮帐户遭黑客入侵，导致发送至该些电邮帐户的电邮被转发至两个不明的电邮地址。事件导致超过1,600名客户的个人资料外洩。

根据调查所获得的证据，私隐专员发现日经的电邮系统在事故发生时在保安方面明显地存在以下四项不足：

1. 薄弱的密码管理
2. 保留已过时的电邮帐户
3. 电邮系统欠缺针对远端存取的保安措施
4. 欠缺针对资讯系统的保安措施

私隐专员经调查后认为日经未有采取所有切实可行的步骤保障其持有的客户个人资料不受未获准许的或意外的查阅、处理、删除或使用所影响，因而违反了《个人资料（私隐）条例》保障资料第 4(1)原则有关个人资料保安的规定。私隐专员已向日经送达执行通知，指示日经纠正以及防止有关违规情况再发生。

私隐专员亦希望借此报告，提醒备有客户个人资料电邮系统的机构需加强警惕，以防止网络攻击影响其电邮系统。机构应制定适当的系统安全政策、措施和程序，并涵盖以下领域：

1. 设立个人资料私隐管理系统；
2. 委任保障资料主任；
3. 订定电邮通讯政策；
4. 足够保安措施；及
5. 培育工作场所的私隐友善文化

下载《调查报告：「日经中国（香港）有限公司的电邮系统遭黑客入侵」》：https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r22_7840_c.pdf
 

 

-完-