PCPD - 資訊保安關注行動

資訊廊

私隱專員發表對警監會的調查報告

日期 : 2006年10月26日

私隱專員發表對警監會的調查報告

個人資料私隱專員(下稱「專員」)吳斌先生今日就「投訴警方的公眾人士的個人資料在互聯網外洩」一事發表調查報告(下稱「報告」)。

背景

事件最初在2006年3月10日由一份本地報章披露。投訴警方獨立監察委員會(下稱「警監會」)所持有約二萬名曾投訴警方的公眾人士的個人資料被放於互聯網上，公眾得以查閱。專員隨即於2006年3月15日主動展開正式調查。調查展開之後，專員共接獲55宗對警監會的投訴。調查方法包括到訪警監會辦事處、到訪投訴警察課、會見有關人士、向有關各方錄取口供、審查有關各方的文件記錄和書面陳述，以及口頭訊問根據《個人資料(私隱)條例》(下稱「條例」)第44 條傳召的人士。

報告詳述管理投訴警察個案的系統、警監會的資訊科技系統、保安及私隱政策、引致互聯網上資料外洩的連串事件，以及專員的調查結果和建議。

專員的調查結果

專員認為警監會違反條例附表1的保障資料第4原則的規定。保障資料第4原則訂明，資料使用者須合理地採取所有切實可行的步驟，確保其持有的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除或其他使用所影響。這原則要求資料使用者對其持有的個人資料採取保障及預防措施。保安級別應反映資料的敏感程度及違反保安規定可引致的損害程度。

專員的調查結果發現警監會沒有採取：

(i)    任何防止資料被發放予承辦商的步驟，亦沒有考慮這樣做的必要性；

(ii)    任何預防措施，保障發放予外判承辦商的資料；以及

(iii)    任何切實可行的步驟，確保能查閱資料的人的良好操守、審慎態度及辦事能力，導致資料在互聯網上外洩。

執行通知

專員根據條例第50條行使權力，於2006年9月18日向警監會發出執行通知，指示警監會於2006年10月16日前作出下列事宜：

1.    制定所需政策及實務指引，列明與外判承辦商或代理接觸時，須妥善處理及保障投訴資料；

2.    實施有效措施，確保員工遵從這些政策及指引；以及

3.    檢討現時的外判合約，盡量在合約中加入條款，訂明承辦商須採取的措施，保障警監會交給他們的投訴資料。

警監會的立場

專員於2006年10月5日收到警監會對報告發表的立場聲明。警監會在其立場聲明中反駁專員的調查結果及執行通知，大致論據如下：

(a)    警監會成員並不屬於條例含義中的資料使用者；

(b)    個別的警監會成員(包括在有關期間已離職的)沒有獲得發言的機會；

(c)    執行通知把責任歸咎於不涉及秘書處(一個政府組織)運作的警監會成員。

按警監會的要求，專員亦公開警監會的立場聲明。

專員的回應

專員對於上述論據並不同意，認為為了公眾利益要作出回應。

專員認為警監會在這次事件中是有關的「資料使用者」。警監會由個別的警監會成員及秘書處(提供所需的行政支援)組成，根據其職權範圍，是有權使用投訴資料，即覆檢警方處理市民投訴的方法，以及經常覆檢市民投訴類別的統計數字等。因此，警監會正符合條例中「資料使用者」的定義，即「獨自或聯同其他人或與其他人共同控制該等資料的收集、持有、處理或使用的人」。在整個調查過程中，警監會並沒有否認它是有關的資料使用者。就投訴資料而言，警監會是資料使用者這個論點，專員認為並無爭論的餘地。

在調查過程中，專員已提供充裕的機會，讓警監會回應投訴及作出陳述。書信是以警監會主席作為收件人，而警監會的回應及陳述均由警監會秘書長代表警監會簽署，副本則送交警監會主席。此外，警監會亦有機會以立場聲明的形式提出陳述。

警監會在立場聲明中反駁，警監會成員與秘書處是分開及有區別的。現有證據顯示，秘書處的存在只是為了協助警監會成員履行任務及職能。秘書處並非獨立的政府組織。警監會成員發出的命令及指令是由秘書處執行。至少，有關的電腦程式合約是以警監會的名義簽訂，而不是以秘書處而作業獨立的政府組織簽訂。在整個調查過程中，警監會並沒有表明警監會成員與秘書處是分開及有區別的。專員認為警監會的論點並無依據。

話雖如此，專員對這件不幸事件的調查結果不應玷污個別警監會成員的名譽。在香港的發展中，具有公民意識的市民曾義務擔任各類委員會及議會的成員，為各種人文活動作出貢獻。他們為締造美好的社會而無私地付出時間和努力。個別的警監會成員就是最佳例子。他們運作的情況，最好由法律規管。吳先生表示：「聽聞政府有計劃立法，令警監會成為獨立運作的法定機構。我希望政府會就警監會將會繼續處理敏感的個人資料這點作出適當考慮。」

遵從執行通知的規定

專員欣悉警監會已於2006年10月16日完全遵從執行通知的規定。

事件的教訓

吳先生表示：「從這件不幸事件汲取的教訓是，資料使用者處理敏感或大量的個人資料時，特別是電子形式，應該提高警覺。如他們要向外判承辦商或代理發放載有個人資料的資料庫時，應該採取預防措施，防止資料外洩。」

專員接下來要做的事，並不是找出誰人負上那部份的責任，而是研究怎樣可以防止同類事件重演。公署正以有限的法律權力和有限的資源作出努力，推廣遵從條例要求的意識。

推廣遵從條例要求的活動

為了防止同類事件重演，專員已展開一項推廣遵從條例要求的活動。公署會為私營及公營機構提供獲得所需知識的機會。

在私營機構方面，專員與三個主要的資訊科技專業團體聯合舉辦了一項名為「資訊保安提升活動」的大型活動。其中一個項目，就是於今天出版一本名為「資訊科技從業員處理個人資料的建議程序」的小冊子，為各行業的資訊科技專業人員提供指引。這本小冊子概述承辦商或分判商在收集及處理個人資料時應遵從的程序。主辦機構亦會舉辦研討會及工作坊，提供深入的培訓，確保建議程序能夠有效施行。為了鼓勵機構把保障資料私隱納為機構管治的核心要素，公署亦計劃日後向管理階層提供指引。

在公營機構方面，專員建議所有政府部門在員工的定期培訓中加入保障資料的課題。此外，公署正與民政事務局籌辦有關遵從條例要求的研討會，出席者包括各政府部門的人員。

報告及小冊子可以在公署的辦事處(香港灣仔皇后大道東248號12樓)索取，亦可以從公署的網站 ( http://www.pcpd.org.hk/chinese/publications/invest_report.html)下載。

返回頁首

[檔案室圖像]

此頁完結

[新聞稿] [演講辭及專題文章/文件] [電視宣傳短片] [展覽材料] [相關網站] [檔案室] [其他資訊] [網上培訓天地] [公署就公眾諮詢所作的回應] [私隱專員就裁決作出回應] [就衞生署職員遺失載有病人個人資料事件的回應] [私隱專員承諾保障病人資料] [私隱專員展開對醫院管理局的視察] [私隱專員回應入境事務處有部份資料放上網一事] [就滙豐銀行遺失資料事件的回應] [「論私隱你有份」國際短片創作比賽] [私隱專員致力推廣保障個人資料私隱] [就法庭裁決作出回應] [私隱專員就「洩漏資料刑事化」作出澄清] [私隱專員回應今日傳媒報導「國泰航空有限公司律師John Bleach認為專員犯了『法律錯誤』。他形容專員認為機艙服務員害怕遭受紀律處分是不合理的。」] [就警方洩漏資料事件作出回應] [對醫院管理局進行視察的進展] [入境事務處處長簽署正式承諾書] [私隱專員在立法會民政事務委員會特別會議的發言] [就香港上海滙豐銀行有限公司兩宗遺失資料事件作出回應] [私隱專員完成對醫院管理局個人資料系統的視察] [私隱專員發表對醫院管理局的視察報告] [私隱專員解釋保障病人資料私隱建議] [私隱專員接受滙豐銀行承諾書] [「論私隱你有份」國際短片創作比賽頒獎典禮] [私隱專員對一宗司法覆核的判決的回應] [私隱專員歡迎醫院管理局提高病人資料私隱的保障] [私隱專員就法院案件編號HCAL 50/2008的判決發表聲明] [私隱專員公署接獲國泰空中服務員工會的信件] [Impact of Technology on Data Privacy] [私隱專員回應的士團體要求在車廂內安裝閉路電視的建議] [聯合醫院遺失病人資料] [私隱專員主持第三十一屆亞太區私隱機構論壇] [私隱專員呼籲求職者謹慎提供個人資料] [地產代理業保護客戶私隱小冊子] [調查報告：僱主收集僱員指紋資料作考勤用途] [聘任副個人資料私隱專員] [回應傳媒就某學校使用指紋識別系統的報導] [私隱專員回應市民對僱主收集僱員的指紋資料作日常考勤用途的議題的查詢] [調查報告：補習社在未獲取學生的同意下使用其成績通知書作宣傳用途] [私隱專員歡迎醫院管理局實施新措施保障病人資料私隱] [調查報告：食品公司在抽獎活動中向顧客收集超乎適度的個人資料] [私隱專員回應「校園驗毒試行計劃」] [必須確保識別個人的個人身分標識符正確：識別初生嬰兒的個案] [條例檢討展開公眾諮詢] [私隱專員就「校園自願驗毒計劃街頭論壇」致大會的發言全文 (此文只提供中文版本)] [回應傳媒關於網上搜尋他人的個人資料的報導] [私隱專員出席第三十一屆「國際資料保障及私隱專員研討會」] [回應傳媒查詢] [審計署署長向個人資料私隱專員公署發出衡工量值式審計報告] [醫院管理局採取保障措施提高對初生嬰兒的保障及其個人資料的準確性] [私隱專員發表兩份關於資料使用者收取查閱資料要求費用及資料使用者向其收數公司移轉個人資料的調查報告] [私隱專員吳斌的個人聲明]

[公署簡介] [個人資料（私隱）條例][檢討條例] [公署活動] [資訊廊] [青少年私隱地帶] [公署出版的刊物及錄影帶]
[查詢與投訴] [個案簡述] [聯絡公署] [搜尋] [網站指南] [圖像版本] [英文版本]