(2013年10月24日)個人資料私隱專員公署(「公署」)指醫院管理局 (「醫管局」)處理棄置載有病人記錄的廢料失當,違反《個人資料(私隱)條例》(「條例」),已發出執行通知指令醫管局採取糾正措施,加強保障病人資料。
背景
2. 傳媒報道有市民先後在2012年6月29日和9月3日在密件處理服務有限公司(「密件處理公司」)的粉嶺碎紙廠外發現病人個人資料(見表)。密件處理公司自2009年起承辦醫管局的廢料處理服務。
表:兩宗涉及不當地銷個人資料的事故
| 廢料 | 載有的病人個人資料 | 受影響的資料病人數目 | 來源 |
|---|---|---|---|
| 一卷用過的打印用碳帶 | 姓名﹑香港身份證號碼﹑出生日期﹑性別﹑地址和電話號碼 | 16 人 |
博愛醫院
|
| 病人預約回條 | 姓名﹑性別﹑年齡及部分香港身份證號碼 | 不詳 | 聖母醫院 |
資料保安原則
3. 與本調查個案相關的是條例中保障資料第4原則 (資料保安原則)。該原則要求資料使用者採取所有切實可行的步驟,保障其持有的個人資料免受未獲授權或意外的查閱﹑處理﹑刪除或其他用途。
4. 條例第65(2)條列明,資料使用者將持有的個人資料交託給資料處理者後,資料使用者仍須對資料處理者的作為負責。
調查結果
5. 醫管局與密件處理公司之間簽訂了服務合約,此合約自2009年11月生效,訂明密件處理公司從醫院收集,並加以處理的廢料分為三類:
| 類別 | 內容 | 處理方式 |
|---|---|---|
| A |
「機密」及「限閱」的廢紙 (載有個人資料) |
回收廢料的袋須用有序列編號的安全裝置或標籤密封 廢紙應切碎成不超過4毫米闊的紙條 |
| B |
過時的表格/小冊子/手冊 |
廢料最低限度切為兩半 |
| C |
使用過的碳帶(載有個人資料) |
廢料應予切碎,但合約沒有詳細訂明切碎碳帶的闊度 |
醫管局的責任
6. 密件處理公司否認對兩宗事故負責,然而專員認為兩宗事故所涉及的廢物(博愛醫院碳帶及聖母醫院診症預約便條)極可能是經密件處理公司的粉嶺碎紙處理,但廢料何以遭人棄置街頭真正原因不明。大有可能有人在未經授權的情況下帶走經切碎處理的廢料,或在廢料運送至密件處理公司的紙品廠或堆填區的過程中不慎丟失。依據條例第65(2)條,醫管局作為資料使用者仍然有責任保護醫院廢料中的個人資料不受未經准許的或意外的查閱。無論如何,醫管局已對兩宗事故承認責任。
該合約在碳帶處理上的疏漏
7. 在合約中,列明了對載有個人資料的廢紙的保安措施(如回收廢料袋須用有序列編號的安全裝置或規定廢紙應切碎成多闊),但對同樣地載有敏感的個人資料的棄置打印用碳帶,卻沒有說明處理方法。換句話說,合約中沒有列明需要點算裝有碳帶的回收袋數目,以防遺失;亦沒有訂明切碎至那個程度以保證當中的個人資料不能被識別或還原。
對承辦商監管不力
8. 根據該合約,醫管局及其轄下的醫院均有權對密件處理公司的碎紙過程進行視察。 視察行動若得以妥善協調和執行,並恰當地跟進,應可有效地監控資料處理者的表現,以及發現操作中的問題,適時作出改善。
9. 然而,醫管局總部否認他們有責任統籌監督轄下醫院進行視察。公署調查進一步揭示醫管局與轄下醫院之間就視察承辦商的次數、範圍或匯報全無指引和協調。各醫院可自行決定會否及如何進行視察,而醫管局也沒有收到或要求各醫院提交視察報告,以作檢討。
10. 醫管局總部罕會派員親身到密件處理公司的碎紙廠進行視察(自2009年至今只有兩次),而僅有兩次的視察均發現關鍵問題,即「未完全切碎」的碳帶和廢紙。若這些需保密處理的廢紙和碳帶可徹底地給切碎,即使遭棄置,也不過是完全毫無價值的廢料,不再構成個人資料保安的風險。
11. 再者,醫管局從未進行審計,檢討或核實密件處理公司有否遵從該合約訂明的責任及條款。實地視察只涵蓋切碎廢料的過程,而審計則可較全面及深入地檢視整個醫院廢料處理的工序,可包括醫院需在送交廢料前作好分類、密件處理公司在醫院收集廢料的程序、由醫院至密件處理公司碎紙廠的運輸、切碎廢料的過程,及已切碎廢料由碎紙廠運送至堆填區或紙品廠的過程。
12. 這充分反映其合約不足以確保妥善及徹底地切碎碳帶,以及醫管局並未有盡責地管理該合約的執行。基於以上調查結果,個人資料私隱專員蔣任宏(「專員」)的結論是醫管局沒有採取所有合理地切實可行的步驟,以確保病人的個人資料受保障而免受未經准許或意外的查閱,因而違反條例的資料保安原則(第4原則)。
執行通知
13. 專員已發出執行通知,指令醫管局:
(1) 採取合理的行動,取回在事故中的棄置醫院廢料,並予以銷毀;
(2) 檢討和修訂醫院廢料棄置程序,並實施下列最基本的改善措施:
專員的評論
14. 蔣任宏強調:「這事故帶出一個訊息:經常保障個人資料的重要。即使機構持有的個人資料在機構以外的地方或外判予第三者處理,機構保障個人資料的責任依然存在。」
15. 資料使用者有責任採取合理的保安措施,保護個人資料以防止資料遺失,及免被未授權的人士查閱﹑毀壞﹑使用﹑修改或披露。此責任涵蓋個人資料由產生至最終被棄置的整個生命周期。
16. 「不管個人資料遭誤用,還是因為資料意外地遺失﹑外洩或被人蓄意盜取,都可能造成嚴重的傷害,若牽涉病人的醫療紀錄等敏感資料,情況更甚。密件處理公司作為醫管局的承辦商,處理載有病人個人資料的醫院廢料,表現實在是極不理想。」
17. 根據條例,私隱專員沒有權力對資料處理者的行為作出直接的規管。這方面唯有靠醫管局用合約或其他規範方式,促使密件處理公司遵從條例相關規定。
18. 蔣任宏重申:「令人遺憾的是,醫管局在合約和程序層面對密件處理公司的監督,及醫管局人員對該公司實地的監察,表現都強差人意。政府即將引入對市民個人私隱有深遠影響的電子健康記錄互通系統,在這關鍵時刻,醫管局有必要提升水平,以向公眾宣示其保障私隱和個人資料的決心。」
調查報告: http://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/R13_6740_c.pdf
資料單張:《外判個人資料的處理予資料處理者》www.pcpd.org.hk/tc_chi/resources_centre/publications/files/dataprocessors_c.pdf
-完-
編輯垂注:
1. 個人資料私隱專員公署為獨立法定機構,負責監察《個人資料(私隱)條例》(「條例」) 的 施 行。使命是採取推廣 、 監察及督導措施 , 促使各界人士遵守條例, 以確 保個人資料私隱得到保障。
2. 任何收集和使用(包括披露和轉移)個人資料 的人士必須遵從條例中的六項保障資料原則,以確保個人資料:
3. 違反保障資料原則本身不會直接構成刑事罪行,但專員可向資料使用者發出執行通知,指令他糾正違反的情況,若案件牽涉罪行,則會將案件轉介給警方作刑事調查。違反執行通知屬觸犯刑事罪行,一經定罪最高罰款港幣五萬元和監禁兩年。
4. 若查訊或調查發現有初步證據顯示案件涉及刑事罪行,私隱專員可將案件轉介給警方進行調查或檢控。