選舉處屢泄資料 私隱署提10建議 倡增檢查數據處理商條款
【明報專訊】選舉事務處近年屢生個人資料外泄事故,個人資料私隱專員公署昨日發布選舉處個人資料系統視察報告,提出10項建議,包括檢視處方與數據處理商簽訂的所有合約,以讓處方審核及檢查對方處理和儲存個人資料的方式,以及定期就資料外泄作演習等。
選舉處回覆稱已積極跟進10項建議,防範類似事件再發生,並稱一直非常重視保障個人資料,致力遵守《個人資料(私隱)條例》、私隱公署和政府資訊科技總監辦公室發出的守則及指引,亦已制定清晰及嚴格部門指引,小心處理個人資料。
選舉處:積極跟進防重蹈覆轍
署方另倡定期演習資料外泄
私隱署昨發表報告,稱私隱專員依據《私隱條例》第36條的權力對選舉處作視察,包括於1至2月期間五度到訪選舉處各部門調查。報告顯示,選舉處與數據處理商簽訂的部分合約,沒有列明處方審核及檢查數據處理商如何處理及儲存資料,處方有時亦無現場視察數據處理商,建議選舉處檢視所有合約並加入有關條款。
報告指出,選舉處於2017年後發生的4次個人資料外泄事故(見表)中,兩次涉遺失實體裝置及文件,建議處方定期就資料外泄作演習,以進一步改善一旦資料外泄的應變計劃。報告亦顯示,選舉處指引簡單列明啟動「私隱風險評估」(Privacy Impact Assessment)的標準,但無指明由誰負責決定啟動,或造成延遲,建議處方更清晰列明啟動機制。
私隱署表示,考慮到選舉處正落實資科辦檢討報告建議,及處方會繼續遵從私隱署就2022年兩宗資料外泄事故而發出的執行通知要求,私隱專員預期選舉處在資料保障的合規標準將進一步提升,並強烈建議選舉處繼續向全體員工灌輸和維持優良資料保障文化。