Skip to content

新聞稿

新聞稿 - 私隱專員公署發表兩份調查報告

日期: 2023年12月21日

私隱專員公署發表兩份調查報告

個人資料私隱專員公署(私隱專員公署)今日發表兩份調查報告:第份報告是關於四宗僱主不當保留及使用僱員/前僱員個人資料的個案;第二份報告是關於Carousell用戶的個人資料遭未獲准許的擷取;私隱專員公署亦同時發布新版本的《人力資源管理︰常問問題》資料單張。
  1. 調查報告:四間機構不當保留及使用僱員/前僱員個人資料
私隱專員公署在過去五年平均每年收到百多宗有關人力資源管理方面的投訴。為促進僱主及人力資源管理人員認識他們在保障個人資料私隱方面的責任和相關的法律規定,個人資料私隱專員(私隱專員)鍾麗玲就接獲的四宗有關人力資源管理的投訴,今日發表調查報告。該四宗投訴涉及四間機構,分別是:
  • 醫院管理局(醫管局)轄下廣華醫院 員工在即時通訊軟件群組中不當披露個人資料
  • Christian Louboutin Asia LimitedChristian Louboutin員工在即時通訊軟件群組中不當披露個人資料;
  • 星娛樂(環宇)有限公司(星娛樂) 在前僱員離職後仍繼續使用其個人資料作公司網上銀行帳戶的使用者;及
  • 雁月中醫綜合中心(雁月) 使用前僱員的舊住址填寫及郵寄報稅表。
(上述投訴個案詳情請參閱附件)
 
私隱專員就上述四宗投訴進行調查後,發現醫管局、Christian Louboutin及星娛樂違反了《個人資料(私隱)條例》(《私隱條例》)下保障資料第3(1)原則有關使用(包括披露)個人資料的規定,而雁月則違反了保障資料第2(1)原則有關個人資料的準確性,以及保障資料第4(1)原則有關個人資料保安的規定。私隱專員已向四間機構發出執行通知,指示該些機構糾正其違反事項,以及防止同類違反的行為再發生。
 
給僱主的四項建議
 
私隱專員希望藉此報告,對僱主作出以下四項建議:
  • 引入「個人資料私隱管理系統」,體現良好數據管治;
  • 委任保障資料主任,推動私隱管理系統的有效運作;
  • 制訂個人資料私隱方面的培訓策略;及
  • 積極與員工溝通,從而更有效地制訂切合日常處境及需要的程序、指引及培訓計劃。
為協助僱主及人力資源管理人員了解他們在保障個人資料私隱方面的責任及按照《私隱條例》的要求處理人力資源管理相關的個人資料,私隱專員公署已同步更新《人力資源管理︰常問問題》資料單張,內容涵蓋在人力資源管理方面與《私隱條例》相關的常問問題。
 
私隱專員鍾麗玲表示:「人力資源管理工作往往涉及處理大量的個人資料,僱主及人力資源管理人員需要對保障個人資料私隱方面的法規和最佳行事方式有足夠的認識。僱主尊重員工的個人資料私隱,有助建立良好的僱傭關係,而這樣亦能夠提升員工對機構的信任,達致雙嬴的局面。」
 
下載《調查報告:僱主不當保留及使用僱員/前僱員個人資料》:
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r23_18465_c.pdf
 
下載《人力資源管理︰常問問題》資料單張:
https://www.pcpd.org.hk//tc_chi/resources_centre/publications/files/Some_Common_Question_Chi.pdf

  1. 調查報告:Carousell用戶的個人資料遭未獲准許的擷取
私隱專員公署已經完成對Carousell Limited一宗資料外洩事故的調查,並於今日發表調查報告。事件源於Carousell Limited向公署通報資料外洩事故,指一個網上論壇聲稱可出售 260 萬名Carousell 用戶的個人資料,包括324,232個香港用戶帳號的個人資料外洩。 Carousell Limited表示該資料外洩事故源於2022 年 1 月系統遷移過程中出現的一個保安漏洞。
 
根據調查所獲得的證據,私隱專員鍾麗玲認為事件是源於Carousell以下的缺失導致:
  1. 未有在系統遷移前進行私隱影響評估;
  2. 不全面的編碼覆檢程序;
  3. 與系統遷移有關的安全評估有缺失;
  4. 欠缺與編碼覆檢程序相關的書面政策;及
  5. 欠缺有效的偵測措施。
雖然Carousell Limited在事發時是使用由Carousell集團中央化模式下的資訊系統及資料庫,但Carousell Limited作為資料使用者仍有確切責任保障由其控制的個人資料的安全。在考慮本個案所有證據後,私隱專員認為Carousell Limited須為下列缺失負責:
  1. 沒有查核在相關系統遷移進行前有否進行私隱影響評估;
  2. 沒有查核在相關應用程式介面推出前有否進行全面的編碼覆檢程序;
  3. 沒有確保Carousell有否就相關系統遷移進行全面的安全評估;
  4. 沒有查核Carousell有否制訂與編碼覆檢程序相關的書面政策;及
  5. 沒有確保Carousell已採取有效措施偵測異常活動,導致未能防止或偵測Carousell 用戶的個人資料從相關應用程式介面被擷取的情況。
考慮到Carousell廣泛的國際業務及服務的龐大活躍用戶數量,公眾會合理地期望Carousell集團(包括香港的Carousell Limited)投入足夠資源確保其資訊系統的穩健安全。然而,相關資料外洩事件揭示了Carousell在保障由其集團持有的個人資料的安全方面犯了根本性的失誤,實令人非常失望;私隱專員認為若當時有實施一般風險及安全評估及措施,相關事件應可避免發生。私隱專員對有關失誤導致260 萬名Carousell全球用戶的個人資料及超過32萬名香港用戶的帳號遭到外洩表示遺憾。
 
基於上述原因,私隱專員認為 Carousell Limited沒有採取所有切實可行的步驟確保涉事的個人資料受到保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反了保障資料第 4(1)原則有關個人資料保安的規定。
 
私隱專員已向Carousell Limited送達執行通知,指示Carousell Limited糾正其違反事項,以及防止有關違規情況再次發生。
 
私隱專員亦希望藉此報告,就個人資料的資訊系統遷移,向機構作出以下建議,以加強數據安全: 
  • 進行私隱影響評估,特別是當系統或行事方式出現重大改變及引入新科技時進行有關評估;
  • 制訂確保數據安全的遷移計劃
  • 進行有效的漏洞評估
  • 提供相關的員工培訓
  • 實施有效的檢測機制偵測異常活動;及
  • 制訂地區性政策及程序,確保遵從《私隱條例》的規定
此外,由於Carousell集團的總部位於新加坡,私隱專員公署已根據與新加坡個人資料保護委員會簽訂的諒解備忘錄,向新加坡個人資料保護委員會提供了是次調查的報告。
 
下載《調查報告:Carousell用戶的個人資料遭未獲准許的擷取》:
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r23_0665_c.pdf

私隱專員鍾麗玲講解《調查報告:僱主不當保留及使用僱員/前僱員個人資料》。

私隱專員鍾麗玲(中)、助理個人資料私隱專員(投訴及刑事調查)關啟宇(左)及高級個人資料主任(合規及查詢)盧浩榮(右)發表兩份調查報告。
 
-完-

附件

四間機構不當保留及使用僱員/前僱員個人資料的詳情
 
調查個案(一)
 
投訴人為醫院管理局(醫管局)轄下廣華醫院的員工。投訴人先後兩次透過即時通訊軟件直接向部門經理告假,並於訊息中提及他的病況(見圖一)。其後,投訴人的直屬上司把該兩則訊息,轉發至由47名與投訴人屬同一部門的員工的通訊群組(見圖二及三)。
 
投訴人不滿其上司把該兩則訊息轉發到通訊群組,導致其病況不必要地被披露予群組的成員。
 
醫管局收集投訴人的病假資料,明顯是為了處理與投訴人病假申請及調配人手有關的事宜。在保障資料第3原則的規定下,除非得到投訴人的訂明同意,否則醫管局只可將投訴人的病假資料使用於上述目的或與此直接有關的目的。
 
根據調查所獲得的證據,私隱專員認為,向員工通訊群組的成員披露投訴人的病況,超出了原來的資料使用目的(即處理與投訴人病假申請及安排調配人手)所需,由於如此披露個人資料並不屬原來的資料使用目的或直接有關的目的,構成將有關資料使用於新目的,而醫管局並未就此取得投訴人的訂明同意,故醫管局在本個案中違反了保障資料第3(1)原則有關個人資料使用的規定。
圖一
(個案中的個人資料已被
遮蓋)

圖二
(個案中的個人資料已被遮蓋)



圖三
(個案中的個人資料已被遮蓋)
 
 
調查個案(二)
 
投訴人受僱於Christian Louboutin Asia Limited(Christian Louboutin)期間,曾向上司遞交一張醫療證明書,及透過即時通訊軟件提供一張醫生證明書。投訴人的上司將拍攝了醫療證明書的照片發送至一個約有14名成員的工作群組(見圖四),並將醫生證明書轉發至另一個約有10名成員的工作群組(見圖五)。投訴人不滿上司將該些資料向相關工作群組職員披露。
 
投訴人向上司提供醫療證明書以說明其身體情況令他不可以處理某類工作,而醫生證明書則是病假申請的證明文件。根據保障資料第3原則,除非得到投訴人的訂明同意,否則Christian Louboutin只可將兩份證明書中所載有關投訴人的個人資料,分別使用於因應投訴人的情況而調整工作安排、處理病假申請,以及因為有關缺勤情況作出人手調配安排的目的,或與此直接有關的目的。
 
在對個案進行調查後,私隱專員認為,有關群組的成員無需知悉投訴人的身體狀況,Christian Louboutin在本個案中如此使用關於投訴人身體狀況的資料,與當初收集該等資料的目的(包括直接有關目的)不符,構成了使用有關資料於新目的。在沒有取得投訴人訂明同意(即投訴人自願給予的明示同意)的情況下,Christian Louboutin的做法違反了保障資料第3(1)原則有關個人資料使用的規定。

圖四
(個案中的個人資料已被遮蓋)

圖五
(個案中的個人資料已被遮蓋)
 
調查個案(三)
 
投訴人是星娛樂(環宇)有限公司(星娛樂)的前會計員工。投訴人表示在他任職星娛樂時,一間星娛樂的關連公司於銀行開立帳戶(該帳戶),他知悉星娛樂登記他成為企業網上銀行的使用者之一,以便他使用網上銀行服務操作該帳戶。然而,投訴人離職後,投訴人仍不時於手提電話號碼收到銀行向他發出關於該帳戶的短訊提示(見圖六),他曾就此多次要求星娛樂停止使用他的個人資料作相關用途,但未獲跟進。投訴人遂向個人資料私隱專員公署作出投訴。
 
作為投訴人的僱主,星娛樂當初自投訴人收集個人資料,固然是為了處理僱傭事務。在使用有關個人資料方面,星娛樂只可使用投訴人的個人資料(包括其私人電話號碼)於處理僱傭事務、與此直接有關的目的,或投訴人所同意的新目的。
 
個案中雖然投訴人曾同意星娛樂將其個人資料使用於登記該帳戶的網上銀行,惟在投訴人離職並且不再就此繼續給予同意後,星娛樂在沒有投訴人的訂明同意(即自願給予的明示同意)下繼續使用投訴人的個人資料登記該帳戶的網上銀行,私隱專員認為,星娛樂的做法違反了保障資料第3(1)原則有關個人資料使用的規定。


圖六
(個案中的個人資料已被遮蓋)
 
調查個案(四)
 
雁月中醫綜合中心(雁月)於投訴人在職期間,根據投訴人的指示更新其住址紀錄。離職後,投訴人一直沒有收到雁月郵寄給他的「僱主填報的薪酬及退休金報稅表」(該報稅表)。其後投訴人發現該報稅表中填寫了他的舊住址(見圖七),其副本亦被郵寄到投訴人的舊住址。
 
《個人資料(私隱)條例》附表1的保障資料第2(1)原則訂明,資料使用者須採取所有切實可行的步驟,以確保在顧及有關的個人資料被使用於或會被使用於的目的(包括任何直接有關的目的)下,該個人資料是準確的。
 
該報稅表是由一間秘書公司代為填寫。雁月在提供報稅用檔案予秘書公司時,沒有發現該檔案中所載的是投訴人的舊住址,而職員在寄送該報稅表副本時亦直接使用表格上所示住址(即舊住址)作郵寄用途。私隱專員認為雁月在處理稅務及向投訴人提供有關稅務文件的副本時,均沒有採取所有切實可行的步驟確保所使用的投訴人的住址是準確的,因而違反了保障資料第2(1)原則有關確保個人資料準確的規定。
 
事件中將該報稅表副本寄往投訴人舊住址,令該報稅表中的個人資料有機會落入不明人士手中,導致當中投訴人的個人資料,包括姓名、身份證號碼及薪金資料有被外洩的風險。私隱專員認為,雁月沒有採取所有切實可行的步驟去保障載於該報稅表中投訴人的個人資料,防止該些個人資料受到未獲准許的或意外的查閱、處理、喪失或使用所影響,同時違反了保障資料第4(1)原則有關個人資料保安的規定。
 

圖七
(個案中的個人資料已被遮蓋)