网上外泄1.7万强检者资料　机电署：条款列明承办商完约会删除

机电工程署2022年收集了14幢大厦、逾1.7万名强制检测人士的个人资料，包括身份证号码及住址，存放在承办商云端平台后，该资料遭外泄。私隐专员公署今日（9日）公布调查结果，裁定机电署违反《私隐条例》，指其未有清楚要求承办商删除资料，亦没自行删除，亏负公众合理期望。
机电署回应表示，与承办商的采购条款列明服务期完结后，承办商会删除相关资料，署方亦已清楚通知承办商服务期于2023年2月底完结。署方已总结经验，避免类似事件再次发生。

2022年，机电署将逾1.7万名强制检测人士的个人资料，包括身份证号码及住址，存放在承办商云端平台ArcGIS Online附设的电子表格平台。同年12月底，机电署知悉强检行动告一段落后，随即通知承办商合约于2023年2月底届满后，不再续约。

载有受检市民资料的表格，一直储存在云端平台的相关网址，未有删除，而且毋须输入帐户及密码就能浏览。直至今年4月30日，私隐专员公署发现后通知机电署，署方才得知资料外泄，立即要求承办商删除个人资料，翌日再向私隐专员公署通报。
公署今日(9日)批评机电署没自行删除资料，亦没有明确指示承办商删除，违反《私隐条例》规定。

机电署：条款列明完约后承办商会删除资料

机电署发新闻稿回应表示，就“围封强检”行动所涉及的网上伺服器平台服务，署方与该承办商的采购条款内，已列明服务期完结后，承办商会删除相关资料，署方亦已清楚通知承办商服务期2023年2月底完结。

机电署又指，今年4月30日知悉有关资料外泄后，一直采取积极及负责任的态度，向执法部门汇报相关个案，并配合公署的调查工作。由于署方留意到该承办商的网上伺服器平台，同期都有其他个人资料外泄个案。署方即时向对方深入了解伺服器平台的运作详情，确保资料已完全移除。

机电署：将开发专用平台　于署方伺服器储存资料

署方已总结经验，致力建立一套更稳健的私隐保安框架，避免类似事件再次发生。署方已采取一系列措施包括：强化私隐管理、全面检视及加强处理个人资料的工作指引、加强员工培训和对网上伺服器平台承办商的监管，以及优化部门电脑支援系统，包括开发专用平台将个人资料储存于署方伺服器内。

如果外判服务涉及处理个人资料，署方亦会在合约完结后提醒承办商须在期限内删除相关资料，以及主动查核承办商以作确认。机电署会详细审视报告内容，严肃跟进和采取适当行动，重申一直非常重视资讯安全和个人资料私隐，并已制定指引定期向同事传阅。

接连有政府部门资料外泄，机电工程署、消防处及市区重建局均使用网上平台ArcGIS Online。香港资讯科技商会荣誉会长方保侨质疑平台存在私隐漏洞，使用者将资料上载到平台后，会一并放到平台的地图中，导致资料外泄。他期望私隐专员公署立法规管云端服务供应商，令平台设计保障使用者私隐。