日期: 2019年11月27日
公署回應傳媒有關一小學資料庫疑資料外洩事件
謝謝你有關「保良局陳守仁小學資料庫疑被黑客入侵」的查詢,香港個人資料私隱專員公署(公署)現就《個人資料(私隱)條例》(《私隱條例》)的相關內容回覆如下:
-
公署已收到保良局陳守仁小學相關的資料外洩事故通報。由於有關資料庫載有報讀該校學生的個人資料(包括姓名、出生日期、地址等),私隱專員關注事件,並會就事件展開循規審查,以取得更多有關事故發生的事實,現階段未能透露詳細資料。
-
透過展開循規審查,公署首要的是向肇事機構提供協助,防止資料持續外洩事故,以減低往後因事故所構成的傷害。
-
私隱專員鼓勵任何肇事機構通報資料外洩事故。是次有關小學於知悉事件發生後主動向公署通報,屬良好行事方式。通報資料外洩事故有利於公署與相關機構攜手,減低因事件對所涉人士可能構成的潛在損害,並尋求改善方案有效防止事件再次發生。
-
公署過去5年共接獲88宗有關黑客入侵的資料外洩事故通報,其中38宗資料外洩事故通報涉及教育機構或學校。
-
不論公私營機構,都必須按《私隱條例》的規定採取有效的保安措施,妥善保障其處理的個人資料不會未經准許或意外地被查閱、處理、刪除、喪失或使用,否則便有可能違反《私隱條例》下的資料保安原則。
-
因應資料的數量及敏感度(如涉及身分證號碼),機構應考慮採取更多有效的技術保安措施,例如採用雙重認證方式來查閱資料等。
-
機構應制定清晰及足夠的政策、處理方式、程序和機制,以保障性質獨特及敏感的個人資料。
-
家長則應留意子女的個人資料在什麼情況下需要交予其他人士,並教導子女保護個人資料私隱的知識,及若遇到個人資料私隱遭洩露的情況,要向其信任的家長求助。
-
就另有傳媒查詢,公署未有收到英華小學相關的資料外洩事故通報。
-
為協助資料使用者作出資料外洩通報,公署發出資料外洩事故的處理及通報指引,就處理資料外洩的相關步驟向資料使用者提供指導。有關指引可於網站下載:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/DataBreachHandling2015_c.pdf