Skip to content

個案簡述

個案簡述

有關保障資料第4原則 - 個人資料的保安的個案簡述

參考編號.:2014C07

電腦應用系統出現程式錯誤,以致員工的個人資料外洩

投訴內容

投訴人的同事登入其受聘機構的內聯網,使用一個供員工申請年假用的應用系統(「該系統」),卻被錯誤連接到投訴人的帳戶,因此,能查看該系統內關於投訴人的個人資料。就此,投訴人向公署投訴該機構未有保障其個人資料。

該機構向私隱專員解釋,事件源於該系統的一項程式錯誤,以致投訴人與該名同事同時登入該系統時,該名同事可查看該系統內屬於投訴人的個人資料。該機構表示,儘管他們已定期進行保安漏洞掃瞄,以及每半年為獲授權的用戶帳號,進行認證,以確保只有獲授權的員工,才能登入有關系統。然而,由於該錯誤只在特定的情況下才會顯現,故他們未能在上述的檢查中偵測該錯誤。

結果

本案的情況看來只屬個別事件,該機構已採取行動,修正錯誤,並進行測試,以確定日後再有兩位使用者同時登入該系統時,不會再出現本案的情況。

鑑於資訊科技的發展急速,為系統保安工作帶來極大挑戰。在私隱專員的建議下,該機構同意不時檢視及優化資訊系統的保安措施,包括檢查其他採用類似軟件的系統,評估類近的程式錯誤會否同時對其他系統構成影響,以便作出修正。長遠而言,該機構表示,會強化其資料保安系統,以提高對員工個人資料私隱的保障。

(上載日期:2015年10月)


個案種類 : 按條例規定/ 保障資料原則/ 實務守則/ 指引分類 : 按題目/內容分類: