PCO 香 港 個 人 資 料 私 隱 專 員 公 署 圖片banner 圖片
私 隱 政 策 聲 明搜 尋網 站 指 南純 文 字 版 本English  
圖片
公 署 簡 介
圖片
個 人 資 料 ( 私 隱 ) 條 例
圖片
檢 討 條 例
圖片
公 署 活 動
圖片
資 訊 廊圖片
個人資料私隱通識網
圖片
青少年私隱地帶
圖片
公 署 出 版 的 刊 物 及 錄 影 帶
圖片
查 詢 與 投 訴
圖片
個 案 簡 述
圖片
聯 絡 公 署
圖片
新 聞 稿演 講 辭 及 專 題 文 章/ 文 件多 媒 體 資 訊展 覽 材 料 / 網 上 遊 戲相關網站
檔 案 室其 他 資 訊網上培訓天地公署就公眾諮詢所作的回應圖片
圖片

資 訊 廊
私隱專員發表對警監會的調查報告
 
日期 : 2006年10月26日

私隱專員發表對警監會的調查報告

個人資料私隱專員(下稱「專員」)吳斌先生今日就「投訴警方的公眾人士的個人資料在互聯網外洩」一事發表調查報告(下稱「報告」)。

背景

事件最初在2006年3月10日由一份本地報章披露。投訴警方獨立監察委員會(下稱「警監會」)所持有約二萬名曾投訴警方的公眾人士的個人資料被放於互聯網 上,公眾得以查閱。專員隨即於2006年3月15日主動展開正式調查。調查展開之後,專員共接獲55宗對警監會的投訴。調查方法包括到訪警監會辦事處、到 訪投訴警察課、會見有關人士、向有關各方錄取口供、審查有關各方的文件記錄和書面陳述,以及口頭訊問根據《個人資料(私隱)條例》(下稱「條例」)第44 條傳召的人士。

報告詳述管理投訴警察個案的系統、警監會的資訊科技系統、保安及私隱政策、引致互聯網上資料外洩的連串事件,以及專員的調查結果和建議。

專員的調查結果

專員認為警監會違反條例附表1的保障資料第4原則的規定。保障資料第4原則訂明,資料使用者須合理地採取所有切實可行的步驟,確保其持有的個人資料受保障 而不受未獲准許的或意外的查閱、處理、刪除或其他使用所影響。這原則要求資料使用者對其持有的個人資料採取保障及預防措施。保安級別應反映資料的敏感程度 及違反保安規定可引致的損害程度。

專員的調查結果發現警監會沒有採取:

(i)    任何防止資料被發放予承辦商的步驟,亦沒有考慮這樣做的必要性;

(ii)    任何預防措施,保障發放予外判承辦商的資料;以及

(iii)    任何切實可行的步驟,確保能查閱資料的人的良好操守、審慎態度及辦事能力,導致資料在互聯網上外洩。

執行通知

專員根據條例第50條行使權力,於2006年9月18日向警監會發出執行通知,指示警監會於2006年10月16日前作出下列事宜:

1.    制定所需政策及實務指引,列明與外判承辦商或代理接觸時,須妥善處理及保障投訴資料;

2.    實施有效措施,確保員工遵從這些政策及指引;以及

3.    檢討現時的外判合約,盡量在合約中加入條款,訂明承辦商須採取的措施,保障警監會交給他們的投訴資料。

警監會的立場

專員於2006年10月5日收到警監會對報告發表的立場聲明。警監會在其立場聲明中反駁專員的調查結果及執行通知,大致論據如下:

(a)    警監會成員並不屬於條例含義中的資料使用者;

(b)    個別的警監會成員(包括在有關期間已離職的)沒有獲得發言的機會;

(c)    執行通知把責任歸咎於不涉及秘書處(一個政府組織)運作的警監會成員。

按警監會的要求,專員亦公開警監會的立場聲明。

專員的回應

專員對於上述論據並不同意,認為為了公眾利益要作出回應。

專員認為警監會在這次事件中是有關的「資料使用者」。警監會由個別的警監會成員及秘書處(提供所需的行政支援)組成,根據其職權範圍,是有權使用投訴資 料,即覆檢警方處理市民投訴的方法,以及經常覆檢市民投訴類別的統計數字等。因此,警監會正符合條例中「資料使用者」的定義,即「獨自或聯同其他人或與其 他人共同控制該等資料的收集、持有、處理或使用的人」。在整個調查過程中,警監會並沒有否認它是有關的資料使用者。就投訴資料而言,警監會是資料使用者這 個論點,專員認為並無爭論的餘地。

在調查過程中,專員已提供充裕的機會,讓警監會回應投訴及作出陳述。書信是以警監會主席作為收件人,而警監會的回應及陳述均由警監會秘書長代表警監會簽署,副本則送交警監會主席。此外,警監會亦有機會以立場聲明的形式提出陳述。

警監會在立場聲明中反駁,警監會成員與秘書處是分開及有區別的。現有證據顯示,秘書處的存在只是為了協助警監會成員履行任務及職能。秘書處並非獨立的政府 組織。警監會成員發出的命令及指令是由秘書處執行。至少,有關的電腦程式合約是以警監會的名義簽訂,而不是以秘書處而作業獨立的政府組織簽訂。在整個調查 過程中,警監會並沒有表明警監會成員與秘書處是分開及有區別的。專員認為警監會的論點並無依據。

話雖如此,專員對這件不幸事件的調查結果不應玷污個別警監會成員的名譽。在香港的發展中,具有公民意識的市民曾義務擔任各類委員會及議會的成員,為各種人 文活動作出貢獻。他們為締造美好的社會而無私地付出時間和努力。個別的警監會成員就是最佳例子。他們運作的情況,最好由法律規管。吳先生表示:「聽聞政府 有計劃立法,令警監會成為獨立運作的法定機構。我希望政府會就警監會將會繼續處理敏感的個人資料這點作出適當考慮。」

遵從執行通知的規定

專員欣悉警監會已於2006年10月16日完全遵從執行通知的規定。

事件的教訓

吳先生表示:「從這件不幸事件汲取的教訓是,資料使用者處理敏感或大量的個人資料時,特別是電子形式,應該提高警覺。如他們要向外判承辦商或代理發放載有個人資料的資料庫時,應該採取預防措施,防止資料外洩。」

專員接下來要做的事,並不是找出誰人負上那部份的責任,而是研究怎樣可以防止同類事件重演。公署正以有限的法律權力和有限的資源作出努力,推廣遵從條例要求的意識。

推廣遵從條例要求的活動

為了防止同類事件重演,專員已展開一項推廣遵從條例要求的活動。公署會為私營及公營機構提供獲得所需知識的機會。

在私營機構方面,專員與三個主要的資訊科技專業團體聯合舉辦了一項名為「資訊保安提升活動」的大型活動。其中一個項目,就是於今天出版一本名為「資訊科技 從業員處理個人資料的建議程序」的小冊子,為各行業的資訊科技專業人員提供指引。這本小冊子概述承辦商或分判商在收集及處理個人資料時應遵從的程序。主辦 機構亦會舉辦研討會及工作坊,提供深入的培訓,確保建議程序能夠有效施行。為了鼓勵機構把保障資料私隱納為機構管治的核心要素,公署亦計劃日後向管理階層 提供指引。

在公營機構方面,專員建議所有政府部門在員工的定期培訓中加入保障資料的課題。此外,公署正與民政事務局籌辦有關遵從條例要求的研討會,出席者包括各政府部門的人員。

報告及小冊子可以在公署的辦事處(香港灣仔皇后大道東248號12樓)索取,亦可以從公署的網站 ( http://www.pcpd.org.hk/chinese/publications/invest_report.html)下載。

返回頁首

檔案室


  圖片聲 明∕版 權 圖片所 有 版 權 屬 個 人 資 料 私 隱 專 員 公 署 所 有 , 二 零 零 一 年 。圖片 免 責 聲 明