新聞稿

個人資料私隱專員公署（私隱專員公署）今日發表兩份調查結果：第一份是關於機電工程署個人資料外洩事故，第二份是關於僱主透過網上招聘平台Jobs DB Hong Kong Limited （JobsDB）刊登匿名招聘廣告的個案。
 
（1）機電工程署（機電署）個人資料外洩事故
 
調查源於機電署於2024年5月1日向私隱專員公署通報資料外洩事故，表示懷疑由其持有的市民個人資料外洩，當中涉及在2022年「限制與檢測宣告」行動（「強檢行動」）中受檢測人士的個人資料 （「外洩事件」）。
 
背景
 
機電署在2022年3至7月期間共執行了14次強檢行動，對分別處於14座大廈內的居民／訪客進行2019冠狀病毒病檢測（見附錄一）。為收集強檢行動中受檢測市民的資料，機電署向承辦商採購並使用雲端平台ArcGIS Online附設的電子表格平台（「該電子表格平台」）製作了14張電子表格作記錄，而相關的電子表格及資料會被儲存在ArcGIS Online雲端平台數據儲存庫中。
 
機電署於2022年底知悉強檢行動告一段落後，隨即通知有關承辦商於2023年2月底合約屆滿後不再就該電子表格平台的服務續約。根據機電署，機電署認為在合約屆滿後，該電子表格平台的帳戶便會失效，而有關資料亦會被承辦商自動刪除。直至2024年4月30日，經私隱專員公署通知機電署，機電署才得知強檢行動中受檢測市民的個人資料可在毋須輸入帳戶及密碼的情況下在ArcGIS Online雲端平台的相關網址被瀏覽，遂立即要求承辦商同日從該電子表格平台中移除涉事的個人資料，令公眾不能再瀏覽有關資料，並於翌日向私隱專員公署通報。
 
受外洩事件影響的受檢測人士數目超過17,000人，所涉及的個人資料包括姓名、地址、香港身份證號碼、電話號碼、年齡、性別、有否接種新冠疫苗、是否核酸檢測陽性及確診日期等。
 
根據機電署所提供的資料，外洩事件發生後，機電署致力從事件中汲取教訓，採取了一系列的措施及行動，包括強化私隱管理、全面檢視處理個人資料的工作及指引、加強員工培訓及承辦商監管，以及優化部門電腦支援系統，以建立更穩健的私隱保安框架及保障個人資料企業文化。
 
調查結果
 
私隱專員公署就外洩事件向機電署進行了五次查訊，亦兩度去信要求承辦商就外洩事件提供相關資料。私隱專員公署感謝機電署及承辦商配合調查，並提供所要求的資訊及文件。經考慮外洩事件的情況及調查所獲得的資料，個人資料私隱專員（私隱專員）鍾麗玲認為機電署的以下缺失是導致外洩事件發生的主因：—
 
1. 沒有就強檢行動所收集的個人資料保存期限制訂書面政策，為資料的存廢提供明確依據。縱使機電署或未能於強檢行動展開之前或期間訂立個人資料的保存期限或訂定相關的資料保存政策，但機電署由始至終僅依靠於2022年底已通知承辦商不再續約，作為實際上已為資料設定保存期限的根據，卻一直沒有透過書面政策訂定上述資料的保存期限。有關的書面政策可為資料的存廢提供明確依據，有其重要作用。
 
特別在本個案中，所涉的資料屬敏感的個人資料，當中不但有市民的姓名、年齡、性別、詳細地址、電話號碼，還包含其香港身份證號碼及核酸檢測資料，而受影響的市民超過17,000人，故此機電署更應對有關資料的處理提高警覺、格外小心；
 
2. 未有清楚向承辦商提出刪除相關資料的要求，即使機電署於2022年底知悉強檢行動告一段落，但於通知承辦商不再續約的過程中，並無明確向承辦商提出刪除涉事的個人資料的要求。事實上，機電署在2024年4月30日得知外洩事件後，才要求承辦商於同日從該電子表格平台中移除涉事的個人資料，而相關資料在當晚已被移除，令公眾不能再瀏覽有關資料。由此可見，機電署只需向承辦商提出要求，有關資料便可被移除。
 
私隱專員認為，署方在通知承辦商不再續約時，向承辦商提出刪除涉事資料的要求，屬有效且切實可行保障個人資料的步驟，惟機電署未有採取此行動；
 

 3. 沒有自行主動刪除涉事的個人資料，特別是在2022年12月底通知承辦商不再續約，直至2023年2月底合約屆滿期間，雖然機電署仍有權限登入該電子表格平台管理當中的個人資料，但機電署只是等待與承辦商的相關合約結束，並無主動採取行動自行查核及刪除平台上的個人資料，以避免不必要地或過長地保存個人資料，此屬一明顯缺失；及

 
4. 沒有適當跟進承辦商刪除資料，機電署只假定承辦商在相關合約結束後會自行採取行動，卻從沒有督促、查核或提醒承辦商刪除該電子表格平台上的個人資料，亦從沒有了解或監察承辦商有關行動的進度或成效。機電署作為資料使用者，決不能只是被動地等待承辦商採取行動，或因信賴承辦商而不去查核其實際的工作情況，此屬另一明顯缺失。
 
面對嚴峻的疫情，私隱專員鍾麗玲理解參與檢疫工作的部門需要迅速部署並執行行動。由於時間緊迫，機電署在籌劃及展開強檢行動時或許未及考慮日後刪除個人資料的政策及安排。然而，由始至終，機電署一直沒有就相關個人資料保存期限制訂政策，亦未有清楚向承辦商提出刪除資料的要求，機電署在完成強檢行動後，也沒有主動採取相應的行動刪除或跟進及查核承辦商刪除個人資料的工作，令相關的個人資料被不必要地暴露於資料外洩的風險中，做法明顯未能符合《個人資料（私隱）條例》（《私隱條例》）的要求，亦虧負了公眾的合理期望，情況令人遺憾。因此，私隱專員裁定機電署：

私隱專員已向機電署送達執行通知，指示其採取措施糾正違規事項，以及防止類似違規情況再次發生。
 
下載《機電工程署個人資料外洩事故》調查結果：
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r24_06502_c.pdf
 
（2）八間機構透過JobsDB刊登匿名招聘廣告
 
私隱專員公署關注有機構透過網上招聘平台刊登匿名招聘廣告以收集求職者個人資料的情況可能涉及違反《私隱條例》的相關規定。私隱專員公署早前啟動對Jobs DB及八間涉及在JobsDB刊登匿名招聘廣告的機構的調查，並於今日發表調查結果。
 
一般而言，匿名招聘廣告即廣告中沒有披露招聘機構（僱主或其委託的招聘代理）的名稱或提供足夠資料以辨識相關機構的身分，以及沒有向求職者提供方式聯絡機構以獲取進一步資料或聯絡方式未有提供足夠的資料以辨識機構的身分，卻直接要求求職者遞交個人資料，例如香港身份證號碼、聯絡資料或履歷等。 

調查發現，在JobsDB登記開立帳戶的機構可透過其帳戶刊登廣告進行招聘。自2024年1月起，求職者可根據廣告的指示，按「Quick apply」鍵遞交申請並提供所要求的個人資料，一經遞交後資料會被存放在JobsDB的管理系統，求職者有權要求JobsDB從相關管理系統刪除其個人資料，而JobsDB亦可控制機構在甚麼情況及時限下閱覽相關資料。
 
在此情況下， JobsDB控制了求職者的個人資料的收集、持有、處理（包括刪除）及使用，因而屬《私隱條例》下的「資料使用者」，必須遵從《私隱條例》及相關保障資料原則的規定。
 
另一方面，調查亦發現招聘機構可以用「私人廣告商」（即「Private Advertiser」）的名義刊登招聘廣告而不披露機構的名稱。八間招聘機構在今次調查中透過JobsDB以「私人廣告商」名義刊登匿名招聘廣告（見附錄二），收集求職者的個人資料。涉事的八間招聘機構亦屬《私隱條例》下的「資料使用者」，業務性質涵蓋證券、服裝零售、中醫藥及運輸服務等，當中除涉及準僱主外，亦有部分是代表準僱主刊登廣告。
 
經考慮個案的事實及調查所獲得的資料，私隱專員鍾麗玲裁定八間招聘機構在JobsDB平台上刊登上述匿名招聘廣告，要求求職者向不知名的招聘機構提供個人資料，以及JobsDB透過其平台刊登該些廣告，兩者同樣涉及不公平地收集求職者的個人資料，因而違反《私隱條例》的保障資料第1(2)原則的規定。私隱專員已向JobsDB及三間招聘機構發出執行通知，指示相關機構糾正其違反事項，以及防止同類違反的行為再發生，亦向餘下五間機構發出勸喻信。
 
私隱專員亦希望藉此調查結果，促請其他網上招聘平台的營運商：

私隱專員公署重申，匿名招聘廣告有機會被用作不當收集個人資料的手法，亦可能讓不法之徒利用相關廣告收集個人資料作詐騙用途。求職人士在未能確定僱主身分的情況時應小心查證，切勿隨便回覆匿名廣告並提供個人資料。 若市民就匿名招聘廣告有任何查詢或投訴，請聯絡私隱專員公署（電話：2827 2827、電郵：communications@pcpd.org.hk／complaints@pcpd.org.hk）。
 
為保障求職者的個人資料及展示正面的企業形象，私隱專員公署呼籲刊登招聘廣告的僱主：

下載《八間機構透過JobsDB刊登匿名招聘廣告》的調查結果：
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r24_03031_c.pdf

 私隱專員鍾麗玲講解機電署資料外洩事故的調查結果。

私隱專員鍾麗玲講解機電署資料外洩事故的調查結果。


私隱專員鍾麗玲（中）、助理個人資料私隱專員（投訴及刑事調查）何芹若（左）及高級律師吳穎軒（右）發表機電署資料外洩事故及僱主透過JobsDB刊登匿名招聘廣告的調查結果。

－完－

附錄一

涉事14座大廈強檢行動的相關日期、樓宇名稱及人數資料