1.7万强检者资料网上公开　机电署以为自动删除　私隐署通知始知

机电工程署2022年收集了14幢大厦、1万7千名强制检测人士的个人资料，包括身份证号码及住址，存放在承办商云端平台。到今年4月，私隐专员公署发现毋须输入帐户及密码便能在云端平台查阅资料。机电署收到公署通知后才得悉事件，并要求承办商删除资料。
公署裁定机电署违反《私隐条例》，指承办商合约2023年2月完结，署方以为承办商会自动删除资料。公署批评署方既没有清楚要求对方删除，亦没有自行删除，亏负公众合理期望，情况令人遗憾。

涉14幢强检大厦　逾1.7万人资料遭外泄

机电署在2022年3至7月执行了14次强检行动，14座大厦的居民或访客须进行2019冠状病毒检测。机电署向承办商采购并使用云端平台ArcGIS Online附设的电子表格平台，制作14张电子表格作记录。每张表格均以强检行动的目标楼宇命名，储存在平台的资料储存库。

表格记载了1万7千人名受检测人士的个人资料，包括姓名、地址、香港身份证号码、电话号码、年龄、性别、有否接种新冠疫苗、是否核酸检测阳性及确诊日期等。

机电署经公署通知　始知资料毋须登入可被浏览

2022年12月底，机电署知悉强检行动告一段落后，随即通知承办商合约于2023年2月底届满后，不再续约。

载有受检市民资料的表格，一直储存在云端平台的相关网址，未有删除，而且毋须输入帐户及密码就能浏览。直至今年4月30日，私隐专员公署发现后通知机电署，机电署才得知资料外泄，立即要求承办商删除个人资料，翌日再向私隐专员公署通报。

为何毋须登入便可浏览资料，私隐专员钟丽玲表示根据机电署，该批资料应该不准公开浏览，但翻查网址活动纪录，部分日期的设定却改为可供公众浏览。由于机电署及承办商对记录的诠释各有不同，故无法寻找改动原因。

▼2022年7月4日　黄大仙凤德邨黛凤楼围封强检▼

裁定机电署违反《私隐条例》　批没订储存期限的书面政策

私隐专员公署收到4宗投诉及4宗查询，向机电署查讯5次后，总结机电署4项缺失，裁定违反《私隐条例》个人资料储存期限的规定，以及个人资料保安的规定。

机电署认为在合约届满后，电子表格平台的帐户便会失效，有关资料亦会被承办商自动删除。私隐专员钟丽玲指，机电署没有就个人资料储存期限制订书面政策，为资料的存废提供明确依据。

由通知不续约至完约2个月　机电署没主动删除个资

公署又认为机电署由2022年12月底通知承办商不再续约，直至翌年2月底合约届满，期间署方仍有许可权登入平台，但没有主动自行查核及删除平台上的个人资料。机电署在通知承办商不再续约的过程中，亦未有清楚要求删除资料。直至今年得悉资料外泄，机电署即时要求承办商移除资料，资料当晚已被移除。公署指由此可见，如果机电署及早处理，便能预防事件。

钟丽玲又称，机电署只是假定承办商在合约结束后会自行采取行动，却从没有督促、查核或提醒承办商删除个人资料，亦从来没有了解或监察承办商有关行动的进度或成效。

钟丽玲表示，正考虑加大《私隐条例》的罚则，并引入行政罚款机制，直接向涉事机构处罚。