日期: 2020年5月8日
公署回應傳媒查詢有關市民投訴資料外洩的事宜
就 貴刊查詢有關市民投訴資料外洩的事宜,香港個人資料私隱專員公署(私隱公署)現就《個人資料(私隱)條例》(《私隱條例》)的相關內容回覆如下:
問題
「1. 請提供2018年至今,按月份列出以下兩類數字:
a) 有關資料外洩事故的投訴數字
b) 與公司客戶資料外洩有關的投訴數字
2. 私隱公署對於以上情況有沒有任何提醒或建議?」
答:問題1(a) 及(b)
-
2018年1月至2020年4月有關市民投訴資料外洩的數字(個案宗數)
|
|
2018 |
2019 |
2020(截至4月) |
|
投訴資料外洩的個案宗數 |
投訴公司客戶資料外洩的個案宗數[1] |
投訴資料外洩的個案宗數 |
投訴公司客戶資料外洩的個案宗數 |
投訴資料外洩的個案宗數 |
投訴公司客戶資料外洩的個案宗數 |
|
一月 |
5 |
2 |
6 |
6 |
9 |
5 |
|
二月 |
4 |
1 |
2 |
2 |
2 |
2 |
|
三月 |
5 |
1 |
1 |
1 |
0 |
0 |
|
四月 |
15 |
1 |
7 |
1 |
2 |
1 |
|
五月 |
4 |
1 |
4 |
4 |
- |
- |
|
六月 |
5 |
0 |
3 |
3 |
- |
- |
|
七月 |
2 |
1 |
1 |
1 |
- |
- |
|
八月 |
2 |
1 |
2 |
1 |
- |
- |
|
九月 |
2 |
1 |
3 |
3 |
- |
- |
|
十月 |
78 |
75 |
2 |
0 |
- |
- |
|
十一月 |
70 |
63 |
1 |
1 |
- |
- |
|
十二月 |
2 |
1 |
3 |
1 |
- |
- |
|
|
194 |
148 |
35 |
24 |
13 |
8 |
-
2018年10月及11月份投訴公司客戶資料外洩對比之前月份大幅上升,是因為一間航空公司於2018年10月24日公布外洩了940萬名客戶資料而引發。
答:問題2
-
不論公私營機構,都必須按《私隱條例》的規定採取有效的保安措施,妥善保障其處理的個人資料不會未經准許或意外地被查閱、處理、刪除、喪失或使用,否則便有可能違反《私隱條例》下的資料保安原則。
-
現時資料外洩事故通報只屬自願性質,但私隱公署鼓勵肇事機構盡早通知私隱公署,此舉有利於私隱公署與相關機構攜手,減低因事件對所涉人士可能構成的潛在損害,並尋求改善方案有效防止事件再次發生。公署亦鼓勵肇事機構盡快通知受影響的資料當事人。
-
機構應制定清晰及足夠的政策、處理方式、程序和機制,以保障個人資料私隱不被侵擾,特別是性質獨特及敏感的個人資料。
-
除了要遵從《私隱條例》上述的規定外,機構亦應恪守更高的數據道德標準,以尊重、互惠和公平的數據管理價值處理市民的個人資料,以符合市民的期望。
-
私隱公署鼓勵機構引入「私隱管理系統」,把個人資料私隱保障納入機構管治責任,由上而下推行公開和具透明度的資訊政策和常規,並採納「貫徹私隱設計」(Privacy by Design)及「預設私隱」(Privacy by Default)模式作為企業的核心考慮因素,方為長遠應對個人資料私隱保障的方案。而第三方供應商和企業的合作夥伴也應進行私隱影響評估(Privacy Impact Assessment),以防範於未然。
[1]其他投訴資料外洩的個案包括外洩了並非公司客戶的資料,例如僱員、學生、老師等。