香港机电工程署资料外泄事件

机电工程署资料外泄事件

据消息人士透露，机电工程署于2024年5月1日报告可能发生资料外泄事故，怀疑与2022年进行的COVID-19测试有关的个人资料外泄。该次外泄事件影响超过 17,000 名人士的个人资料，包括姓名、地址、香港身份证号码及 PCR 测试结果等敏感资料。

公署的主要调查结果

• 缺乏資料保存政策： 機電工程署沒有成文政策規管個人資料的保留及處置，導致資料處理含糊不清。
• 没有要求删除资料：机电署在通知承办商不续订服务合约时，并没有明确要求删除个人资料，而这应是关键的一步。
• 删除资料时不采取行动：机电工程署等待合约届满，却没有采取主动措施删除敏感资料，导致资料被不必要地保留。
• 假定承包商遵守规定：机电署假设承办商会删除资料而没有跟进，忽略监察或核实有关删除资料的行动。

私隐专员钟丽玲认为机电署没有遵守《个人资料(私隐)条例》(《私隐条 例》)，未能符合公众期望。

私隐影响评估

这宗个案的调查结果提醒我们进行私隐影响评估 (PIA) 的重要性。 PIA 可帮助企业识别并降低与个人数据处理相关的风险。以下是 PIA 至关重要的一些关键原因：

• 风险识别：PIA 使企业能够在数据处理生命周期的早期阶段就确定潜在的隐私风险。
• 合规保证：通过根据 GDPR 要求调整实践，企业可以避免代价高昂的罚款和声誉损失。
• 知情决策：企业可以就数据使用做出更明智的决策，确保数据使用合法、公平和透明。

ISO 27701 认证

获得 ISO 27701 认证可进一步加强组织对隐私管理的承诺。该标准为按照包括 GDPR 在内的隐私法规管理个人数据提供了一个框架。ISO 27701 认证的主要优势包括

• 增强信任：证明符合国际标准可以在客户和利益相关者之间建立信任。
• 结构化方法：它提供了一种结构化的隐私和数据保护方法，使有效的实践更容易实施。
• 持续改进：企业可以定期评估和改进其隐私管理流程，以适应不断变化的法规和风险。

通过实施稳健的隐私影响评估和追求 ISO 27701 认证，企业不仅可以降低违规风险，还可以培养尊重和维护个人权利的隐私文化。

DQS相关服务：

• DQS 提供ISO 27701 隐私信息管理系统认证服务；
• DQS HK 提供隐私影响评估 (PIA)服务。