新聞稿
私隱專員公署發表2025年工作報告 並介入三宗資料保安事故
日期: 2026年2月3日
私隱專員公署發表2025年工作報告
附件一
個案(1)–保安服務公司在即時通訊軟件群組中發放個別員工的終止僱傭合約通知書
投訴人曾任職於一間保安服務公司,並獲派往一個康文設施場地工作。投訴人的上司在向投訴人發出終止僱傭合約通知書時,將通知書發送至在一個即時通訊軟件開設的工作群組,導致通知書內包括投訴人的姓名、香港身份證號碼及被解僱的資料被披露予群組內的其他員工。
涉事公司解釋,考慮到群組的成員有需要知道投訴人離職後不可進入相關場地的工作人員專屬範圍,亦不可再接觸場地工作人員的內部資料,投訴人的上司在匆忙且沒有深思熟慮的情況下於群組發放通知書,亦未有在通知書上遮蓋毋須對第三者披露的個人資料。
私隱專員公署就個案啟動調查。經調查後,私隱專員認為向群組的其他成員披露通知書中投訴人的香港身份證號碼及被解僱的情況,超出了原來使用資料的目的(即處理投訴人的僱傭事務)所需。由於如此披露個人資料並不屬於原來使用資料的目的或直接有關的目的,相關披露構成將有關資料使用於新目的,而涉事公司並未就此取得投訴人的訂明同意,故涉事公司在本個案中違反了保障資料第3(1)原則有關個人資料使用的規定。
私隱專員已向涉事公司送達執行通知,指令其要求群組成員在群組內刪除通知書及所有通知書的複製本(如有),並就處理僱傭合約的個人資料制定政策,及將相關政策納入員工培訓內容。
個案(2)–酒店保安部門未有鎖上存放員工年度工作表現評核表的工作枱抽屜
投訴人任職一間酒店保安部門期間,於控制室部門主管的工作枱尋找文件時,無意中在工作枱未有鎖上的抽屜中發現部門全體員工的年度工作表現評核表,評核表亦載有部門員工的個人資料,包括姓名、入職日期及工作表現評核。
涉事酒店表示工作枱主要供保安部門主管使用,但當主管休假時,當值的保安人員可使用工作枱處理文書工作。相關酒店解釋事件中主管在放置評核表後忘記鎖上工作枱的抽屜。酒店於知悉有關情況後,已就主管沒有按照相關守則及指引妥善保護機密文件的情況向其作出紀律處分,亦就保安部門主管存放機密文件的安排作出規定。
私隱專員公署就個案啟動調查。經調查後,私隱專員裁定相關酒店沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反了《私隱條例》的保障資料第 4(1)原則有關個人資料保安的規定。
私隱專員已向涉事酒店送達執行通知,指令酒店制定監察措施確保員工依循及執行保障個人資料私隱的政策及指引,並訂立具體的培訓計劃,加強員工保障個人資料私隱的意識。
個案(3)– 社福機構錯誤將解僱員工的文件掃瞄本儲存至共用檔案
投訴人曾任職於一間社福機構。相關社福機構職員在處理投訴人的「書面解聘紀錄表」時,在掃瞄文件後將有關掃瞄本錯誤儲存於內部資訊網絡中一個由部門共用的檔案內。由於文件未有以密碼加密,導致所有部門員工均可閱覽相關文件,當中載有投訴人的姓名、入職日期、薪金、工作表現評核及被解僱的原因等。
涉事社福機構承認事件源於一名行政職員的人為失誤,在掃瞄文件時錯誤選擇了部門共用的檔案為掃瞄本的儲存方式,而職員在發現事件後已即時將文件從檔案刪除。相關社福機構指文件存放於共用檔案約半小時,其間並沒有其他同事閱覽涉事文件之紀錄。
經私隱專員公署介入後,涉事社福機構已立即處理事件及訓示相關行政職員,相關部門亦取消了將掃瞄文件傳送至共用檔案的功能。社福機構亦於部門職員會議上提醒所有員工小心處理載有敏感個人資料的文件,並定期安排員工接受保障個人資料私隱的培訓。
經考慮個案的情況及相關社福機構提供的資料,私隱專員認為機構沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反了《私隱條例》的保障資料第 4(1)原則有關個人資料保安的規定。私隱專員因而向涉事社福機構發出書面警告,要求機構貫徹實行及監察員工妥善執行保障個人資料私隱的措施。
私隱專員公署發表2025年工作報告
並介入三宗資料保安事故
個人資料私隱專員公署(私隱專員公署)今日發表2025年的工作報告,並報告早前介入三宗涉及個人資料保安的事故。
(一)2025年工作報告
此外,私隱專員公署於2025年接獲1,163宗與懷疑誘騙個人資料相關的查詢,與2024年的1,158宗相若。
這些外洩事故涉及黑客入侵、遺失文件或便攜式裝置、經電郵、郵遞或傳真意外披露個人資料、僱員違規、系統錯誤設定等。在2025年,涉及黑客入侵的資料外洩事故為81宗(佔全部資料外洩事故的33%),較2024年的61宗(佔2024年資料外洩事故的30%)增加33%。
私隱專員公署於2025年進行了435次循規審查,較2024年的400次循規審查增加9%。
2025年執法行動
在2025年,私隱專員公署合共處理308宗「起底」個案(包括接獲與「起底」相關的投訴及主動經網上巡查發現的「起底」個案),較2024年的442宗減少30%。在上述308宗「起底」個案中,有299宗為公署接獲的「起底」投訴,當中「起底」的原因主要為金錢糾紛(45%),以及家人及感情糾紛(24%)。
2025年內,私隱專員公署就147宗「起底」個案展開刑事調查,並將47宗案件轉介予警方繼續跟進。公署在2025年合共拘捕了18人。被捕人士主要經社交媒體平台及即時通訊軟件(67%)將事主「起底」,其餘個案則屬透過張貼單張、展示橫額等作出「起底」行為(33%)。公署於年內合共向13個網上平台發出了32份停止披露通知,涉及56個「起底」訊息,遵從率超過98%。
自打擊「起底」的條文生效至2025年的執法行動總結
由打擊「起底」的條文生效日(即2021年10月8日)至2025年12月31日,私隱專員公署合共處理3,634宗「起底」個案,並向57個網上平台發出了2,104份停止披露通知,涉及33,743個「起底」訊息,即使停止披露通知的送達對象大部分為海外的網上平台營運商,應公署要求移除「起底」訊息的整體遵從率超過96%。除了移除個別「起底」訊息之外,公署亦成功透過發出停止披露通知移除了250個用作「起底」的頻道。
隨著私隱專員公署過去四年持續果斷執法、加強宣傳及教育,以及社會氣氛轉趨平和,非法「起底」情況已大為改善。在2025年,公署主動經網上巡查發現的「起底」個案為九宗,較2022年(即「起底」條文生效後首一年)的1,134宗大跌超過99%;而公署於2025年接獲299宗與「起底」相關的投訴,較2022年的630宗亦下跌超過五成(53%)。
由有關條文生效日(即2021年10月8日)至2025年12月31日,公署就519宗「起底」個案展開刑事調查,並將150宗案件轉介予警方繼續跟進。公署合共拘捕了81人(包括三次與警方的聯合拘捕行動)。期內已有55名被捕人士被落案起訴「起底」罪行,當中43人已被定罪。
事實證明,私隱專員公署的打擊「起底」工作並無影響市民的言論自由,亦無影響網上平台在港的合法營運。公署會繼續果斷執法,打擊「起底」罪行,確保市民的個人資料私隱獲得充分保障。
(二)三間機構的個人資料保安事故(詳見附件一)
私隱專員公署早前介入三宗涉及個人資料保安的事故。個案中被投訴的機構均為投訴人的僱主,有關機構在處理僱傭資料時,因不同方面的缺失導致個人資料被不當披露,或受未獲准許的或意外的查閱、處理或使用,違反《私隱條例》的相關規定。
三宗資料保安事故個案的簡介
在上述個案中,經考慮個別事件的情況及所獲得的資料,私隱專員鍾麗玲認為涉案機構分別違反了《私隱條例》下保障資料第3(1)原則有關使用(包括披露)個人資料的規定,或保障資料第4(1)原則有關個人資料保安的規定。私隱專員已向三間機構發出執行通知或警告信,指示該些機構糾正其違反事項,以及防止同類違反的行為再次發生。
私隱專員鍾麗玲呼籲僱主在保障員工個人資料方面訂定清晰的政策,避免因人為疏忽,或意識不足而忽略個人資料安全。私隱專員指出:「僱主應視保障員工個人資料私隱為機構數據管治的重要一環,彰顯機構保障員工個人資料的決心,並確保符合《私隱條例》的規定,以達至在僱傭關係方面雙贏的局面。」
有關僱主保障僱員個人資料私隱的議題與市民大眾息息相關,亦是僱主的法定責任的一部分。私隱專員公署鼓勵機構與員工共同締造保障個人資料私隱及數據安全的工作環境,公署向僱主作出以下五項建議:
(一)2025年工作報告
- 投訴個案
- 回應查詢
此外,私隱專員公署於2025年接獲1,163宗與懷疑誘騙個人資料相關的查詢,與2024年的1,158宗相若。
- 個人資料外洩事故
這些外洩事故涉及黑客入侵、遺失文件或便攜式裝置、經電郵、郵遞或傳真意外披露個人資料、僱員違規、系統錯誤設定等。在2025年,涉及黑客入侵的資料外洩事故為81宗(佔全部資料外洩事故的33%),較2024年的61宗(佔2024年資料外洩事故的30%)增加33%。
私隱專員公署於2025年進行了435次循規審查,較2024年的400次循規審查增加9%。
- 打擊「起底」行為
2025年執法行動
在2025年,私隱專員公署合共處理308宗「起底」個案(包括接獲與「起底」相關的投訴及主動經網上巡查發現的「起底」個案),較2024年的442宗減少30%。在上述308宗「起底」個案中,有299宗為公署接獲的「起底」投訴,當中「起底」的原因主要為金錢糾紛(45%),以及家人及感情糾紛(24%)。
2025年內,私隱專員公署就147宗「起底」個案展開刑事調查,並將47宗案件轉介予警方繼續跟進。公署在2025年合共拘捕了18人。被捕人士主要經社交媒體平台及即時通訊軟件(67%)將事主「起底」,其餘個案則屬透過張貼單張、展示橫額等作出「起底」行為(33%)。公署於年內合共向13個網上平台發出了32份停止披露通知,涉及56個「起底」訊息,遵從率超過98%。
自打擊「起底」的條文生效至2025年的執法行動總結
由打擊「起底」的條文生效日(即2021年10月8日)至2025年12月31日,私隱專員公署合共處理3,634宗「起底」個案,並向57個網上平台發出了2,104份停止披露通知,涉及33,743個「起底」訊息,即使停止披露通知的送達對象大部分為海外的網上平台營運商,應公署要求移除「起底」訊息的整體遵從率超過96%。除了移除個別「起底」訊息之外,公署亦成功透過發出停止披露通知移除了250個用作「起底」的頻道。
隨著私隱專員公署過去四年持續果斷執法、加強宣傳及教育,以及社會氣氛轉趨平和,非法「起底」情況已大為改善。在2025年,公署主動經網上巡查發現的「起底」個案為九宗,較2022年(即「起底」條文生效後首一年)的1,134宗大跌超過99%;而公署於2025年接獲299宗與「起底」相關的投訴,較2022年的630宗亦下跌超過五成(53%)。
由有關條文生效日(即2021年10月8日)至2025年12月31日,公署就519宗「起底」個案展開刑事調查,並將150宗案件轉介予警方繼續跟進。公署合共拘捕了81人(包括三次與警方的聯合拘捕行動)。期內已有55名被捕人士被落案起訴「起底」罪行,當中43人已被定罪。
事實證明,私隱專員公署的打擊「起底」工作並無影響市民的言論自由,亦無影響網上平台在港的合法營運。公署會繼續果斷執法,打擊「起底」罪行,確保市民的個人資料私隱獲得充分保障。
(二)三間機構的個人資料保安事故(詳見附件一)
私隱專員公署早前介入三宗涉及個人資料保安的事故。個案中被投訴的機構均為投訴人的僱主,有關機構在處理僱傭資料時,因不同方面的缺失導致個人資料被不當披露,或受未獲准許的或意外的查閱、處理或使用,違反《私隱條例》的相關規定。
三宗資料保安事故個案的簡介
- 投訴人曾任職於一間保安服務公司。其上司將一份載有投訴人香港身份證號碼的終止僱傭合約通知書發送至在即時通訊軟件開設的工作群組,導致該通知書內投訴人的個人資料被披露予該群組的其他員工。
- 一間酒店的保安部門主管將部門員工的年度工作表現評核表存放於其工作枱的抽屜。由於該工作枱供保安部門員工共用且該主管未有按酒店的指引將抽屜鎖上,投訴人(當時為該酒店保安部門的員工)於主管的工作枱尋找其他文件時,無意中翻閱了抽屜中載有部門全體員工個人資料的評核表。
- 一間社福機構的行政職員負責將投訴人的解聘紀錄文件掃瞄,惟過程中該職員錯誤將掃瞄本儲存於部門的共用資料檔案,令文件中投訴人的個人資料可被部門內的其他員工查閱。
在上述個案中,經考慮個別事件的情況及所獲得的資料,私隱專員鍾麗玲認為涉案機構分別違反了《私隱條例》下保障資料第3(1)原則有關使用(包括披露)個人資料的規定,或保障資料第4(1)原則有關個人資料保安的規定。私隱專員已向三間機構發出執行通知或警告信,指示該些機構糾正其違反事項,以及防止同類違反的行為再次發生。
私隱專員鍾麗玲呼籲僱主在保障員工個人資料方面訂定清晰的政策,避免因人為疏忽,或意識不足而忽略個人資料安全。私隱專員指出:「僱主應視保障員工個人資料私隱為機構數據管治的重要一環,彰顯機構保障員工個人資料的決心,並確保符合《私隱條例》的規定,以達至在僱傭關係方面雙贏的局面。」
有關僱主保障僱員個人資料私隱的議題與市民大眾息息相關,亦是僱主的法定責任的一部分。私隱專員公署鼓勵機構與員工共同締造保障個人資料私隱及數據安全的工作環境,公署向僱主作出以下五項建議:
- 引入「個人資料私隱管理系統」,制定清晰的個人資料保安政策,將保障個人資料私隱納入機構的核心價值,並由上而下推動重視保障個人資料私隱及數據安全的文化;
- 訂立完善的工作流程及程序,並定期提醒員工有關工作流程及政策的重點,以確保員工依循相關工作流程及政策;
- 實施恆常的監察機制,透過技術監察或定期巡查,確保員工貫徹執行個人資料保安政策,並定期檢視以優化監管流程,確保監察工作的成效;
- 提供培訓,為員工(尤其是處理敏感資料的員工)提供針對性的培訓,以提升員工保障私隱的意識和能力;
- 積極與員工溝通,與他們共同探討涉及處理個人資料的工作流程,了解員工的關注及疑難,從而更有效地制定切合日常運作所需要的政策、程序及培訓計劃。
私隱專員鍾麗玲發表2025年工作報告。
私隱專員鍾麗玲發表2025年工作報告。
私隱專員鍾麗玲(左)及助理個人資料私隱專員(投訴及刑事調查)何芹若(右)講解公署2025年工作報告及三宗涉及僱員個人資料保安的事故。
助理個人資料私隱專員(投訴及刑事調查)何芹若闡述三宗涉及僱員個人資料保安的事故。
-完-
附件一
有關三間機構的個人資料保安事故
個案摘錄
個案摘錄
個案(1)–保安服務公司在即時通訊軟件群組中發放個別員工的終止僱傭合約通知書
投訴人曾任職於一間保安服務公司,並獲派往一個康文設施場地工作。投訴人的上司在向投訴人發出終止僱傭合約通知書時,將通知書發送至在一個即時通訊軟件開設的工作群組,導致通知書內包括投訴人的姓名、香港身份證號碼及被解僱的資料被披露予群組內的其他員工。
涉事公司解釋,考慮到群組的成員有需要知道投訴人離職後不可進入相關場地的工作人員專屬範圍,亦不可再接觸場地工作人員的內部資料,投訴人的上司在匆忙且沒有深思熟慮的情況下於群組發放通知書,亦未有在通知書上遮蓋毋須對第三者披露的個人資料。
私隱專員公署就個案啟動調查。經調查後,私隱專員認為向群組的其他成員披露通知書中投訴人的香港身份證號碼及被解僱的情況,超出了原來使用資料的目的(即處理投訴人的僱傭事務)所需。由於如此披露個人資料並不屬於原來使用資料的目的或直接有關的目的,相關披露構成將有關資料使用於新目的,而涉事公司並未就此取得投訴人的訂明同意,故涉事公司在本個案中違反了保障資料第3(1)原則有關個人資料使用的規定。
私隱專員已向涉事公司送達執行通知,指令其要求群組成員在群組內刪除通知書及所有通知書的複製本(如有),並就處理僱傭合約的個人資料制定政策,及將相關政策納入員工培訓內容。
個案(2)–酒店保安部門未有鎖上存放員工年度工作表現評核表的工作枱抽屜
投訴人任職一間酒店保安部門期間,於控制室部門主管的工作枱尋找文件時,無意中在工作枱未有鎖上的抽屜中發現部門全體員工的年度工作表現評核表,評核表亦載有部門員工的個人資料,包括姓名、入職日期及工作表現評核。
涉事酒店表示工作枱主要供保安部門主管使用,但當主管休假時,當值的保安人員可使用工作枱處理文書工作。相關酒店解釋事件中主管在放置評核表後忘記鎖上工作枱的抽屜。酒店於知悉有關情況後,已就主管沒有按照相關守則及指引妥善保護機密文件的情況向其作出紀律處分,亦就保安部門主管存放機密文件的安排作出規定。
私隱專員公署就個案啟動調查。經調查後,私隱專員裁定相關酒店沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反了《私隱條例》的保障資料第 4(1)原則有關個人資料保安的規定。
私隱專員已向涉事酒店送達執行通知,指令酒店制定監察措施確保員工依循及執行保障個人資料私隱的政策及指引,並訂立具體的培訓計劃,加強員工保障個人資料私隱的意識。
個案(3)– 社福機構錯誤將解僱員工的文件掃瞄本儲存至共用檔案
投訴人曾任職於一間社福機構。相關社福機構職員在處理投訴人的「書面解聘紀錄表」時,在掃瞄文件後將有關掃瞄本錯誤儲存於內部資訊網絡中一個由部門共用的檔案內。由於文件未有以密碼加密,導致所有部門員工均可閱覽相關文件,當中載有投訴人的姓名、入職日期、薪金、工作表現評核及被解僱的原因等。
涉事社福機構承認事件源於一名行政職員的人為失誤,在掃瞄文件時錯誤選擇了部門共用的檔案為掃瞄本的儲存方式,而職員在發現事件後已即時將文件從檔案刪除。相關社福機構指文件存放於共用檔案約半小時,其間並沒有其他同事閱覽涉事文件之紀錄。
經私隱專員公署介入後,涉事社福機構已立即處理事件及訓示相關行政職員,相關部門亦取消了將掃瞄文件傳送至共用檔案的功能。社福機構亦於部門職員會議上提醒所有員工小心處理載有敏感個人資料的文件,並定期安排員工接受保障個人資料私隱的培訓。
經考慮個案的情況及相關社福機構提供的資料,私隱專員認為機構沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反了《私隱條例》的保障資料第 4(1)原則有關個人資料保安的規定。私隱專員因而向涉事社福機構發出書面警告,要求機構貫徹實行及監察員工妥善執行保障個人資料私隱的措施。