個人資料私隱專員公署今日（7日）公布早前介入的8宗有關披露個人資料及個人資料保安的事故，涉及政府部門、保險公司及航空公司等。涉事機構因不同方面缺失令個人資料被不當披露，或令個人資料受未獲准許的或意外的查閱、處理或使用，違反《個人資料（私隱）條例》相關規定。

    第一宗是一間化驗中心醫生在替投訴人進行超聲波掃描後，離開檢查室時未有登出系統，令仍留於檢查室內投訴人看到檢查儀器顯示屏上展示其他病人資料，包括英文姓名、完整香港身份證號碼及簡單病歷。

    第二宗是一名旅行團領隊向團員派發團體電子機票上載有30多位人士英文姓名與出生日期，令所有團員均能透過該團體電子機票得知彼此個人資料。

    第三宗為一名停車場保安員在處理有關泊車投訴時將投訴人電話號碼提供予另一位涉事停車場租戶，讓其自行與投訴人處理泊車事宜，構成將投訴人電話號碼不當地披露予另一名租戶。

    第四宗是一間醫療服務機構透過網上登記表格收集市民個人資料時，未有對表格「查看結果摘要」功能作出適當設定，令100多名登記人士個人資料包括中英文姓名、電話號碼、電郵地址和出生日期可透過「查看結果摘要」功能被其他填表人士查閱。

    私隱專員鍾麗玲（右）及助理個人資料私隱專員（投訴及刑事調查）何芹若（左）闡述私隱專員公署介入8宗資料保安事故。

    第五宗為一個政府部門向投訴人發出一封郵遞文件，但部門職員未有跟蹤既定摺信要求處理信件，以致透過信封窗口可看到當中信件標題，及由投訴人香港身份證號碼組成的個案編號。

    第六宗是一間保險公司以環保紙打印發送到其他公司文件，所用環保紙為待棄置個人簡歷及香港身份證副本，令當中所載個人資料亦一併被錯誤地發送到其他公司。

    第七宗是一間零售商向會員寄發優惠訊息電郵，惟寄發電郵職員因操作失誤，將全體會員電郵地址填寫在「收件人」欄目，令收件人可在該電郵中看到逾千名會員電郵地址。

    第八宗是一間航空公司會員賬戶系統使用錯誤指令碼，以致投訴人在登入會員賬戶時被錯誤連結至另一會員賬戶，並可查閱該會員賬戶內的個人資料。

    個人資料私隱專員鍾麗玲表示，在上述個案中經考慮個別事件情況及所獲得的資料，發現涉案機構分別違反《私隱條例》下保障資料第3(1)原則有關使用（包括披露）個人資料的規定，或保障資料第4(1)原則有關個人資料保安的規定。她說，公眾對保障個人資料私隱的期望與日俱增，機構有責任將此視為其核心價值之一，構建一個保障個人資料私隱及數據安全的工作環境。這有助確保符合《私隱條例》要求，並可加強客戶對機構之信心。

    私隱專員公署提出多項建議：第一，將保障個人資料納入機構核心價值，委任合適主管人員負責資料保安，公開展示管理層對保持個人資料私隱決心，讓員工感受到其重要性。

    其次，通過培訓提升員工保障私隱意識和能力，講解常見風險及進行情景演練。

    第三，制定清晰易明工作指引，設計檢查清單或流程圖。

    第四，採取保安措施，如使用預設加密的電郵系統或自動填充電郵正確收件人，減低錯誤操作風險。

    第五，定期監察、評估及改善資料保安政策，包括安排主管人員定期或突擊巡查前線員工工作情況，並定期收集員工意見。

    頂圖：私隱專員鍾麗玲講解資料保安事故的詳情。

    私隱專員鍾麗玲（左）及助理個人資料私隱專員（投訴及刑事調查）何芹若（右）闡述私隱專員公署介入8宗資料保安事故。