遺失載有個人資料的可攜式儲存裝置 — 保障資料第4原則 — 個人資料的保安
背景
一個政府部門(該部門)向私隱專員公署通報,指該部門委託一間服務承辦商協助管理社區會堂,惟該服務承辦商的一名員工在未經授權的情況下,將載有數百名申請者的姓名、電話號碼及僱主名稱的場地預約紀錄儲存至一枚USB記憶體內,而該員工於翌日發現遺失了該記憶體。
補救措施
在收到有關的資料外洩事故通報後,私隱專員公署展開了循規審查。因應該事件,該部門採取了一系列措施以防止類似事件再次發生,包括更換該服務承辦商提供的所有電腦,以確保該些電腦不能使用USB端口及不能連接至網絡;制定承辦商保障個人資料的指引,當中建議避免使用便攜式儲存裝置儲存個人資料;及承諾把該指引的規定納入未來的報價及招標程序,以確保承辦商妥善處理個人資料。
借鑑
便攜式儲存裝置雖然提供一個便捷的方法儲存和轉移資料至機構系統以外的地方,但這會增加資料外洩的風險。機構應在切實可行的範圍內,避免使用便攜式儲存裝置來儲存個人資料。如有必要使用便攜式儲存裝置,應制定政策列明允許使用有關裝置的情況、可轉移到有關裝置的個人資料類別和數量、使用便攜式儲存裝置的審批程序等。機構亦應保存這類便攜式儲存裝置的清單及追蹤其使用情況和位置,並在每次使用後妥善地刪除當中的資料。
另一方面,如果機構委託第三方資料處理者,則應採用合約規範或其他方式,防止轉移給資料處理者進行處理的個人資料未經授權或意外存取、處理、刪除、遺失或使用。
上載日期:2025年10月