新聞稿
私隐专员公署发表2025年工作报告 并介入三宗资料保安事故
日期: 2026年2月3日
私隐专员公署发表2025年工作报告
附件一
个案(1)–保安服务公司在即时通讯软件群组中发放个别员工的终止僱佣合约通知书
投诉人曾任职于一间保安服务公司,并获派往一个康文设施场地工作。投诉人的上司在向投诉人发出终止僱佣合约通知书时,将通知书发送至在一个即时通讯软件开设的工作群组,导致通知书内包括投诉人的姓名、香港身份证号码及被解僱的资料被披露予群组内的其他员工。
涉事公司解释,考虑到群组的成员有需要知道投诉人离职后不可进入相关场地的工作人员专属范围,亦不可再接触场地工作人员的内部资料,投诉人的上司在匆忙且没有深思熟虑的情况下于群组发放通知书,亦未有在通知书上遮盖毋须对第三者披露的个人资料。
私隐专员公署就个案启动调查。经调查后,私隐专员认为向群组的其他成员披露通知书中投诉人的香港身份证号码及被解僱的情况,超出了原来使用资料的目的(即处理投诉人的僱佣事务)所需。由于如此披露个人资料并不属于原来使用资料的目的或直接有关的目的,相关披露构成将有关资料使用于新目的,而涉事公司并未就此取得投诉人的订明同意,故涉事公司在本个案中违反了保障资料第3(1)原则有关个人资料使用的规定。
私隐专员已向涉事公司送达执行通知,指令其要求群组成员在群组内删除通知书及所有通知书的复制本(如有),并就处理僱佣合约的个人资料制定政策,及将相关政策纳入员工培训内容。
个案(2)–酒店保安部门未有锁上存放员工年度工作表现评核表的工作枱抽屉
投诉人任职一间酒店保安部门期间,于控制室部门主管的工作枱寻找文件时,无意中在工作枱未有锁上的抽屉中发现部门全体员工的年度工作表现评核表,评核表亦载有部门员工的个人资料,包括姓名、入职日期及工作表现评核。
涉事酒店表示工作枱主要供保安部门主管使用,但当主管休假时,当值的保安人员可使用工作枱处理文书工作。相关酒店解释事件中主管在放置评核表后忘记锁上工作枱的抽屉。酒店于知悉有关情况后,已就主管没有按照相关守则及指引妥善保护机密文件的情况向其作出纪律处分,亦就保安部门主管存放机密文件的安排作出规定。
私隐专员公署就个案启动调查。经调查后,私隐专员裁定相关酒店没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,因而违反了《私隐条例》的保障资料第 4(1)原则有关个人资料保安的规定。
私隐专员已向涉事酒店送达执行通知,指令酒店制定监察措施确保员工依循及执行保障个人资料私隐的政策及指引,并订立具体的培训计划,加强员工保障个人资料私隐的意识。
个案(3)– 社福机构错误将解僱员工的文件扫瞄本储存至共用档案
投诉人曾任职于一间社福机构。相关社福机构职员在处理投诉人的「书面解聘纪录表」时,在扫瞄文件后将有关扫瞄本错误储存于内部资讯网络中一个由部门共用的档案内。由于文件未有以密码加密,导致所有部门员工均可阅览相关文件,当中载有投诉人的姓名、入职日期、薪金、工作表现评核及被解僱的原因等。
涉事社福机构承认事件源于一名行政职员的人为失误,在扫瞄文件时错误选择了部门共用的档案为扫瞄本的储存方式,而职员在发现事件后已即时将文件从档案删除。相关社福机构指文件存放于共用档案约半小时,其间并没有其他同事阅览涉事文件之纪录。
经私隐专员公署介入后,涉事社福机构已立即处理事件及训示相关行政职员,相关部门亦取消了将扫瞄文件传送至共用档案的功能。社福机构亦于部门职员会议上提醒所有员工小心处理载有敏感个人资料的文件,并定期安排员工接受保障个人资料私隐的培训。
经考虑个案的情况及相关社福机构提供的资料,私隐专员认为机构没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,因而违反了《私隐条例》的保障资料第 4(1)原则有关个人资料保安的规定。私隐专员因而向涉事社福机构发出书面警告,要求机构贯彻实行及监察员工妥善执行保障个人资料私隐的措施。
私隐专员公署发表2025年工作报告
并介入三宗资料保安事故
个人资料私隐专员公署(私隐专员公署)今日发表2025年的工作报告,并报告早前介入三宗涉及个人资料保安的事故。
(一)2025年工作报告
此外,私隐专员公署于2025年接获1,163宗与怀疑诱骗个人资料相关的查询,与2024年的1,158宗相若。
这些外洩事故涉及黑客入侵、遗失文件或便携式装置、经电邮、邮递或传真意外披露个人资料、僱员违规、系统错误设定等。在2025年,涉及黑客入侵的资料外洩事故为81宗(佔全部资料外洩事故的33%),较2024年的61宗(佔2024年资料外洩事故的30%)增加33%。
私隐专员公署于2025年进行了435次循规审查,较2024年的400次循规审查增加9%。
2025年执法行动
在2025年,私隐专员公署合共处理308宗「起底」个案(包括接获与「起底」相关的投诉及主动经网上巡查发现的「起底」个案),较2024年的442宗减少30%。在上述308宗「起底」个案中,有299宗为公署接获的「起底」投诉,当中「起底」的原因主要为金钱纠纷(45%),以及家人及感情纠纷(24%)。
2025年内,私隐专员公署就147宗「起底」个案展开刑事调查,并将47宗案件转介予警方继续跟进。公署在2025年合共拘捕了18人。被捕人士主要经社交媒体平台及即时通讯软件(67%)将事主「起底」,其余个案则属透过张贴单张、展示横额等作出「起底」行为(33%)。公署于年内合共向13个网上平台发出了32份停止披露通知,涉及56个「起底」讯息,遵从率超过98%。
自打击「起底」的条文生效至2025年的执法行动总结
由打击「起底」的条文生效日(即2021年10月8日)至2025年12月31日,私隐专员公署合共处理3,634宗「起底」个案,并向57个网上平台发出了2,104份停止披露通知,涉及33,743个「起底」讯息,即使停止披露通知的送达对象大部分为海外的网上平台营运商,应公署要求移除「起底」讯息的整体遵从率超过96%。除了移除个别「起底」讯息之外,公署亦成功透过发出停止披露通知移除了250个用作「起底」的频道。
随着私隐专员公署过去四年持续果断执法、加强宣传及教育,以及社会气氛转趋平和,非法「起底」情况已大为改善。在2025年,公署主动经网上巡查发现的「起底」个案为九宗,较2022年(即「起底」条文生效后首一年)的1,134宗大跌超过99%;而公署于2025年接获299宗与「起底」相关的投诉,较2022年的630宗亦下跌超过五成(53%)。
由有关条文生效日(即2021年10月8日)至2025年12月31日,公署就519宗「起底」个案展开刑事调查,并将150宗案件转介予警方继续跟进。公署合共拘捕了81人(包括三次与警方的联合拘捕行动)。期内已有55名被捕人士被落案起诉「起底」罪行,当中43人已被定罪。
事实证明,私隐专员公署的打击「起底」工作并无影响市民的言论自由,亦无影响网上平台在港的合法营运。公署会继续果断执法,打击「起底」罪行,确保市民的个人资料私隐获得充分保障。
(二)三间机构的个人资料保安事故(详见附件一)
私隐专员公署早前介入三宗涉及个人资料保安的事故。个案中被投诉的机构均为投诉人的僱主,有关机构在处理僱佣资料时,因不同方面的缺失导致个人资料被不当披露,或受未获准许的或意外的查阅、处理或使用,违反《私隐条例》的相关规定。
三宗资料保安事故个案的简介
在上述个案中,经考虑个别事件的情况及所获得的资料,私隐专员钟丽玲认为涉案机构分别违反了《私隐条例》下保障资料第3(1)原则有关使用(包括披露)个人资料的规定,或保障资料第4(1)原则有关个人资料保安的规定。私隐专员已向三间机构发出执行通知或警告信,指示该些机构纠正其违反事项,以及防止同类违反的行为再次发生。
私隐专员钟丽玲呼吁僱主在保障员工个人资料方面订定清晰的政策,避免因人为疏忽,或意识不足而忽略个人资料安全。私隐专员指出:「僱主应视保障员工个人资料私隐为机构数据管治的重要一环,彰显机构保障员工个人资料的决心,并确保符合《私隐条例》的规定,以达至在僱佣关系方面双赢的局面。」
有关僱主保障僱员个人资料私隐的议题与市民大众息息相关,亦是僱主的法定责任的一部分。私隐专员公署鼓励机构与员工共同缔造保障个人资料私隐及数据安全的工作环境,公署向僱主作出以下五项建议:
(一)2025年工作报告
- 投诉个案
- 回应查询
此外,私隐专员公署于2025年接获1,163宗与怀疑诱骗个人资料相关的查询,与2024年的1,158宗相若。
- 个人资料外洩事故
这些外洩事故涉及黑客入侵、遗失文件或便携式装置、经电邮、邮递或传真意外披露个人资料、僱员违规、系统错误设定等。在2025年,涉及黑客入侵的资料外洩事故为81宗(佔全部资料外洩事故的33%),较2024年的61宗(佔2024年资料外洩事故的30%)增加33%。
私隐专员公署于2025年进行了435次循规审查,较2024年的400次循规审查增加9%。
- 打击「起底」行为
2025年执法行动
在2025年,私隐专员公署合共处理308宗「起底」个案(包括接获与「起底」相关的投诉及主动经网上巡查发现的「起底」个案),较2024年的442宗减少30%。在上述308宗「起底」个案中,有299宗为公署接获的「起底」投诉,当中「起底」的原因主要为金钱纠纷(45%),以及家人及感情纠纷(24%)。
2025年内,私隐专员公署就147宗「起底」个案展开刑事调查,并将47宗案件转介予警方继续跟进。公署在2025年合共拘捕了18人。被捕人士主要经社交媒体平台及即时通讯软件(67%)将事主「起底」,其余个案则属透过张贴单张、展示横额等作出「起底」行为(33%)。公署于年内合共向13个网上平台发出了32份停止披露通知,涉及56个「起底」讯息,遵从率超过98%。
自打击「起底」的条文生效至2025年的执法行动总结
由打击「起底」的条文生效日(即2021年10月8日)至2025年12月31日,私隐专员公署合共处理3,634宗「起底」个案,并向57个网上平台发出了2,104份停止披露通知,涉及33,743个「起底」讯息,即使停止披露通知的送达对象大部分为海外的网上平台营运商,应公署要求移除「起底」讯息的整体遵从率超过96%。除了移除个别「起底」讯息之外,公署亦成功透过发出停止披露通知移除了250个用作「起底」的频道。
随着私隐专员公署过去四年持续果断执法、加强宣传及教育,以及社会气氛转趋平和,非法「起底」情况已大为改善。在2025年,公署主动经网上巡查发现的「起底」个案为九宗,较2022年(即「起底」条文生效后首一年)的1,134宗大跌超过99%;而公署于2025年接获299宗与「起底」相关的投诉,较2022年的630宗亦下跌超过五成(53%)。
由有关条文生效日(即2021年10月8日)至2025年12月31日,公署就519宗「起底」个案展开刑事调查,并将150宗案件转介予警方继续跟进。公署合共拘捕了81人(包括三次与警方的联合拘捕行动)。期内已有55名被捕人士被落案起诉「起底」罪行,当中43人已被定罪。
事实证明,私隐专员公署的打击「起底」工作并无影响市民的言论自由,亦无影响网上平台在港的合法营运。公署会继续果断执法,打击「起底」罪行,确保市民的个人资料私隐获得充分保障。
(二)三间机构的个人资料保安事故(详见附件一)
私隐专员公署早前介入三宗涉及个人资料保安的事故。个案中被投诉的机构均为投诉人的僱主,有关机构在处理僱佣资料时,因不同方面的缺失导致个人资料被不当披露,或受未获准许的或意外的查阅、处理或使用,违反《私隐条例》的相关规定。
三宗资料保安事故个案的简介
- 投诉人曾任职于一间保安服务公司。其上司将一份载有投诉人香港身份证号码的终止僱佣合约通知书发送至在即时通讯软件开设的工作群组,导致该通知书内投诉人的个人资料被披露予该群组的其他员工。
- 一间酒店的保安部门主管将部门员工的年度工作表现评核表存放于其工作枱的抽屉。由于该工作枱供保安部门员工共用且该主管未有按酒店的指引将抽屉锁上,投诉人(当时为该酒店保安部门的员工)于主管的工作枱寻找其他文件时,无意中翻阅了抽屉中载有部门全体员工个人资料的评核表。
- 一间社福机构的行政职员负责将投诉人的解聘纪录文件扫瞄,惟过程中该职员错误将扫瞄本储存于部门的共用资料档案,令文件中投诉人的个人资料可被部门内的其他员工查阅。
在上述个案中,经考虑个别事件的情况及所获得的资料,私隐专员钟丽玲认为涉案机构分别违反了《私隐条例》下保障资料第3(1)原则有关使用(包括披露)个人资料的规定,或保障资料第4(1)原则有关个人资料保安的规定。私隐专员已向三间机构发出执行通知或警告信,指示该些机构纠正其违反事项,以及防止同类违反的行为再次发生。
私隐专员钟丽玲呼吁僱主在保障员工个人资料方面订定清晰的政策,避免因人为疏忽,或意识不足而忽略个人资料安全。私隐专员指出:「僱主应视保障员工个人资料私隐为机构数据管治的重要一环,彰显机构保障员工个人资料的决心,并确保符合《私隐条例》的规定,以达至在僱佣关系方面双赢的局面。」
有关僱主保障僱员个人资料私隐的议题与市民大众息息相关,亦是僱主的法定责任的一部分。私隐专员公署鼓励机构与员工共同缔造保障个人资料私隐及数据安全的工作环境,公署向僱主作出以下五项建议:
- 引入「个人资料私隐管理系统」,制定清晰的个人资料保安政策,将保障个人资料私隐纳入机构的核心价值,并由上而下推动重视保障个人资料私隐及数据安全的文化;
- 订立完善的工作流程及程序,并定期提醒员工有关工作流程及政策的重点,以确保员工依循相关工作流程及政策;
- 实施恒常的监察机制,透过技术监察或定期巡查,确保员工贯彻执行个人资料保安政策,并定期检视以优化监管流程,确保监察工作的成效;
- 提供培训,为员工(尤其是处理敏感资料的员工)提供针对性的培训,以提升员工保障私隐的意识和能力;
- 积极与员工沟通,与他们共同探讨涉及处理个人资料的工作流程,了解员工的关注及疑难,从而更有效地制定切合日常运作所需要的政策、程序及培训计划。
私隐专员钟丽玲发表2025年工作报告。
私隐专员钟丽玲发表2025年工作报告。
私隐专员钟丽玲(左)及助理个人资料私隐专员(投诉及刑事调查)何芹若(右)讲解公署2025年工作报告及三宗涉及僱员个人资料保安的事故。
助理个人资料私隐专员(投诉及刑事调查)何芹若阐述三宗涉及僱员个人资料保安的事故。
-完-
附件一
有关三间机构的个人资料保安事故
个案摘录
个案摘录
个案(1)–保安服务公司在即时通讯软件群组中发放个别员工的终止僱佣合约通知书
投诉人曾任职于一间保安服务公司,并获派往一个康文设施场地工作。投诉人的上司在向投诉人发出终止僱佣合约通知书时,将通知书发送至在一个即时通讯软件开设的工作群组,导致通知书内包括投诉人的姓名、香港身份证号码及被解僱的资料被披露予群组内的其他员工。
涉事公司解释,考虑到群组的成员有需要知道投诉人离职后不可进入相关场地的工作人员专属范围,亦不可再接触场地工作人员的内部资料,投诉人的上司在匆忙且没有深思熟虑的情况下于群组发放通知书,亦未有在通知书上遮盖毋须对第三者披露的个人资料。
私隐专员公署就个案启动调查。经调查后,私隐专员认为向群组的其他成员披露通知书中投诉人的香港身份证号码及被解僱的情况,超出了原来使用资料的目的(即处理投诉人的僱佣事务)所需。由于如此披露个人资料并不属于原来使用资料的目的或直接有关的目的,相关披露构成将有关资料使用于新目的,而涉事公司并未就此取得投诉人的订明同意,故涉事公司在本个案中违反了保障资料第3(1)原则有关个人资料使用的规定。
私隐专员已向涉事公司送达执行通知,指令其要求群组成员在群组内删除通知书及所有通知书的复制本(如有),并就处理僱佣合约的个人资料制定政策,及将相关政策纳入员工培训内容。
个案(2)–酒店保安部门未有锁上存放员工年度工作表现评核表的工作枱抽屉
投诉人任职一间酒店保安部门期间,于控制室部门主管的工作枱寻找文件时,无意中在工作枱未有锁上的抽屉中发现部门全体员工的年度工作表现评核表,评核表亦载有部门员工的个人资料,包括姓名、入职日期及工作表现评核。
涉事酒店表示工作枱主要供保安部门主管使用,但当主管休假时,当值的保安人员可使用工作枱处理文书工作。相关酒店解释事件中主管在放置评核表后忘记锁上工作枱的抽屉。酒店于知悉有关情况后,已就主管没有按照相关守则及指引妥善保护机密文件的情况向其作出纪律处分,亦就保安部门主管存放机密文件的安排作出规定。
私隐专员公署就个案启动调查。经调查后,私隐专员裁定相关酒店没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,因而违反了《私隐条例》的保障资料第 4(1)原则有关个人资料保安的规定。
私隐专员已向涉事酒店送达执行通知,指令酒店制定监察措施确保员工依循及执行保障个人资料私隐的政策及指引,并订立具体的培训计划,加强员工保障个人资料私隐的意识。
个案(3)– 社福机构错误将解僱员工的文件扫瞄本储存至共用档案
投诉人曾任职于一间社福机构。相关社福机构职员在处理投诉人的「书面解聘纪录表」时,在扫瞄文件后将有关扫瞄本错误储存于内部资讯网络中一个由部门共用的档案内。由于文件未有以密码加密,导致所有部门员工均可阅览相关文件,当中载有投诉人的姓名、入职日期、薪金、工作表现评核及被解僱的原因等。
涉事社福机构承认事件源于一名行政职员的人为失误,在扫瞄文件时错误选择了部门共用的档案为扫瞄本的储存方式,而职员在发现事件后已即时将文件从档案删除。相关社福机构指文件存放于共用档案约半小时,其间并没有其他同事阅览涉事文件之纪录。
经私隐专员公署介入后,涉事社福机构已立即处理事件及训示相关行政职员,相关部门亦取消了将扫瞄文件传送至共用档案的功能。社福机构亦于部门职员会议上提醒所有员工小心处理载有敏感个人资料的文件,并定期安排员工接受保障个人资料私隐的培训。
经考虑个案的情况及相关社福机构提供的资料,私隐专员认为机构没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,因而违反了《私隐条例》的保障资料第 4(1)原则有关个人资料保安的规定。私隐专员因而向涉事社福机构发出书面警告,要求机构贯彻实行及监察员工妥善执行保障个人资料私隐的措施。