(2014年1月23日)個人資料私隱專員公署(「公署」)視察過學生資助辦事處(「學資處」)用作處理四項學生資助計劃的個人資料系統,結果認為該系統的資料保障措施大致上令人滿意,惟某些方面,例如沒有明文指引規範職員向電話查詢者披露有關申請的個人資料,仍需檢討和改善。
2. 學資處是香港特別行政區政府執行學生資助政策的機構。學資處於2010至13年三個學年內,每學年平均接獲逾956,000宗各項資助計劃的申請,而各項獎學金和助學金計劃的申請亦有8,000多宗。
3. 副個人資料私隱專員張如萌今日在記者會上發表視察報告,她指出:「考慮到學資處的運作規模龐大,而視察中未有發現嚴重或重大缺失,個人資料私隱專員認為系統的資料保障措施大致上令人滿意。其他向公眾提供資助的公營機構,在處理個人資料方面可以這份報告作為借鏡。」
4. 學資處為處理申請而收集、持有及使用多種個人資料,包括申請人及其家庭成員的姓名、身份證號碼、出生日期、聯絡資料、就業狀況詳情、全年收入、銀行戶口資料及教育背景資料等。
5. 鑑於所涉的資料當事人數目龐大,涉及個人資料(包括財務資料)的敏感性,以及學資處持續管理學生資助計劃的角色,為公眾利益,公署決定視察由學資處管理的學校書簿津貼計劃、學生車船津貼計劃、上網費津貼計劃和考試費減免計劃的個人資料系統。視察主要審視學資處在個人資料的收集、保留、使用及保安等各方面是否符合條例列明的保障資料第1至4原則。
6. 該項視察是根據條例第36條於2013年4月至8月間進行,包括查詢、現場視察學資處的運作及示範,審閱學資處相關政策及程序,及會見學資處相關職員。
視察結果及建議
7. 個人資料私隱專員(「專員」)喜見學資處採取的保障資料措施,包括給申請人有關處理個人資料的指引內容詳盡;亦有採取切實可行的措施去確保資料的準確性,例如採用雙重輸入資料的做法和查證程序、還有在培訓或通告中強調資料保障、以密碼控制進入辦事處內受限制的範圍及電腦系統,以及由職員陪同速遞員在不同辦事處及辦事處內不同單位收取和送遞載有個人資料的文件的安排等。
8. 專員發現15項學資處需要改善的事項,並敦請學資處盡速處理以下五個範疇的建議:
(1) 申請資料的保存:學資處目前永久保留的資料有35類,包括可識別個人身份的個人資料,例如所有申請人及其家庭成員的英文姓名、身份證號碼及出生日期。專員建議檢討這種做法,並應適當地將存檔的資料匿名化。
(2) 向來電查詢人士披露個人資料:對於自稱為申請人的電話查詢者,學資處沒有向職員提供書面指引訂明可向來電者披露哪類有關申請的個人資料,職員只要求來電者提供其姓名及身份證號碼以核實其申請人身份。專員建議學資處就可以或不可以在電話中向來電者披露的資料種類,向職員提供清晰指引,並實施更嚴格的身份核實程序,例如查問來電者其他資料。
(3) 資料儲存前應加密:學資處會把所有資訊科技系統的資料備份磁帶從一個辦事處送往另一個辦事處作保存。不過,這些磁帶所記錄的資料並無加密處理。專員建議學資處把備份磁帶送離辦公大樓往儲存地點前,先把磁帶資料加密。
(4) 培訓:專員建議學資處規定指定職位的職員參與資訊科技保安意識的培訓(目前職員以自願性質參加)。
(5) 對資料處理者的監管: 學資處聘用承辦商將紙張形式的資料抄錄至光碟(「資料準備承辦商」)。學資處曾於2010年3月至2013年3月期間兩次視察資料準備承辦商的處所,但視察過程並無資訊科技技術人員的支援。此外,學資處並無記錄視察結果,亦沒有檢查資料準備承辦商完成抄錄過程後是否徹底刪除電腦系統上的資料。專員建議資訊科技的技術人員應參與日後對資料準備承辦商操作的視察,以確保對方備有相關的資訊科技保安措施。專員亦建議學資處記錄視察結果,隨機檢查以確保資料準備承辦商不會保留資料多於所需的時間,制定政策訂明視察次數(例如每年一次)和規定視察結果應由高級管理人員檢核。
9. 公署已將視察報告送交學資處。視察報告可於網站下載: www.pcpd.org.hk/tc_chi/resources_centre/publications/files/R14_3771_c.pdf
完
編輯垂注:
1. 個人資料私隱專員公署為獨立法定機構,負責監察《個人資料(私隱)條例》(「條例」) 的 施 行。使命是採取推廣 、 監察及督導措施 , 促使各界人士遵守條例, 以確 保個人資料私隱得到保障。
2.任何收集和使用(包括披露和轉移)個人資料 的人士必須遵從條例中的六項保障資料原則,以確保個人資料:
3. 違反保障資料原則本身不會直接構成刑事罪行,但專員可向資料使用者發出執行通知,指令他糾正違反的情況,若案件牽涉罪行,則會將案件轉介給警方作刑事調查。違反執行通知屬觸犯刑事罪行,一經定罪最高罰款港幣五萬元和監禁兩年。
4. 若查訊或調查發現有初步證據顯示案件涉及觸犯刑事罪行,私隱專員可將案件轉介給警方進行調查及檢控。