遗失载有个人资料的可携式储存装置 — 保障资料第4原则 — 个人资料的保安
背景
一个政府部门(该部门)向私隐专员公署通报,指该部门委托一间服务承办商协助管理社区会堂,惟该服务承办商的一名员工在未经授权的情况下,将载有数百名申请者的姓名、电话号码及雇主名称的场地预约纪录储存至一枚USB记忆体内,而该员工于翌日发现遗失了该记忆体。
补救措施
在收到有关的资料外泄事故通报后,私隐专员公署展开了循规审查。因应该事件,该部门采取了一系列措施以防止类似事件再次发生,包括更换该服务承办商提供的所有电脑,以确保该些电脑不能使用USB端口及不能连接至网络;制定承办商保障个人资料的指引,当中建议避免使用便携式储存装置储存个人资料;及承诺把该指引的规定纳入未来的报价及招标程序,以确保承办商妥善处理个人资料。
借鉴
便携式储存装置虽然提供一个便捷的方法储存和转移资料至机构系统以外的地方,但这会增加资料外泄的风险。机构应在切实可行的范围内,避免使用便携式储存装置来储存个人资料。如有必要使用便携式储存装置,应制定政策列明允许使用有关装置的情况、可转移到有关装置的个人资料类别和数量、使用便携式储存装置的审批程序等。机构亦应保存这类便携式储存装置的清单及追踪其使用情况和位置,并在每次使用后妥善地删除当中的资料。
另一方面,如果机构委托第三方资料处理者,则应采用合约规范或其他方式,防止转移给资料处理者进行处理的个人资料未经授权或意外存取、处理、删除、遗失或使用。
上载日期:2025年10月