個人資料私隱專員公署已經完成對選舉事務處兩宗個人資料外洩事故的調查,並於今日(12月29日)發表調查報告。
兩宗個案分別是有選舉事務處職員,錯誤地把載有選民資料的檔案以電郵發送至不明收件人,以及選舉事務處錯誤地將一名選舉委員會委員送交的回條夾附在測試電郵內。
第一宗事件發生之時正值本地第五波疫情肆虐,當時選舉事務處作出特別在家工作安排,把職員分成不同組別交替在家工作,以減少社交接觸。涉案的文書主任獲安排在某些日子在家工作。3月23日晚上7時左右,該文書主任擬把兩個載有約15,000名選民登記資料的試算表檔案傳送至其私人電郵帳戶,以方便她翌日在家工作。然而該文書主任卻輸入了錯誤的電郵地址,導致該兩個檔案被傳送至不明收件人。該文書主任留意到她傳送的電郵在十多分鐘後仍未送達她的私人電郵帳戶,才發現出錯,並立刻將情況通知助理選舉事務主任。
私隱專員鍾麗玲經調查後認為這宗個案主要涉及人為錯誤。資料外洩事故源於個別職員的疏忽和缺乏資料保障意識,以致違反選舉事務處有關資訊科技保安的指引,包括「僅使用部門的電郵系統以電郵方式傳送保密資料」及「不可使用個人電郵帳戶處理公務或傳送保密資料或個人資料」。有關職員在沒有充分考慮所涉及的安全風險及未有仔細核對收件人的電郵地址的情況下,單純地為方便在家工作而將載有大量個人資料的電郵發送到選舉事務處電郵系統以外的錯誤電郵地址。另一方面,私隱專員發現選舉事務處在事發前並未設置適當的資訊保安措施,令職員可隨意將載有個人資料的檔案透過選舉事務處的電郵系統發送到其電郵系統以外的私人電郵地址,亦是這宗個案發生的肇因。
第二宗事件在選舉事務處準備舉行2022年行政長官選舉時發生。職員在覆核已發出的測試電郵時,發現一個發送予38名選委及26名選委助理的電郵,錯誤夾附了附有一名選委及其助理個人資料的回條,當中載有該名選委及其助理的姓名、電郵地址、電話號碼,以及該名選委的簽署。
私隱專員經調查後認為這宗個案主要是由人為錯誤所引起。這宗個案是由於相關職員的疏忽及缺乏資料保障的意識,以及選舉事務處相關工作流程的不足所導致。在這宗個案當中,不準確的資料總表明顯地導致了工作流程的突然改變,以致職員須在午夜之後對測試電郵擬稿中的電郵地址與電子版回條進行最後一刻的核對。私隱專員認為如果選舉事務處備有恰當的工作流程,以確保該資料總表能適時及準確地備妥,有關職員則毋須在時間緊迫下進行最後一刻的人手核對,亦毋須利用不穩妥的方式進行核對;同時,如果相關職員在核對的過程中更為謹慎,應可避免這宗個案的發生。
另一方面,選舉事務處沒有就發送測試電郵的機制,包括核對步驟制定任何書面程序,從而增加了人為偏差及未有依循所需步驟的風險。私隱專員理解選舉事務處職員進行最後一刻的核對時所面對的壓力,但書面程序的欠缺無可避免地增加了人為錯誤的風險,尤其是考慮到當職員須長時間工作,以及為了加快整個工作流程而省略了第二次檢查,以致削弱了原先三層檢查機制的有效性。
綜合而言,私隱專員鍾麗玲認為,兩宗個案突顯選舉事務處沒有採取所有切實可行的步驟以確保個人資料受到保障,而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,她因而裁定選舉事務處違反了《個人資料(私隱)條例》保障資料第 4(1)原則有關個人資料保安的規定。
私隱專員已向選舉事務處送達兩份執行通知,指示選舉事務處糾正以及防止有關違規情況再發生,包括要求選舉事務處採取技術性保安措施管控電郵系統的使用,檢視並改善收集選委個人資料及發送大量附有個人資料的電郵的工作流程,及加強有關資訊保安及個人資料保障的培訓等。
選舉事務處認同調查報告所指,兩宗事件主要涉及人為錯誤及缺乏資料保障意識,而選舉事務處亦應採取更嚴格的預防措施以減低員工疏忽或未有依循指引所帶來的風險。
發言人表示,該處一向十分重視保障個人資料,並致力遵守《個人資料(私隱)條例》及個人資料私隱專員公署和政府資訊科技總監辦公室發出的守則及指引,亦已制訂清晰及嚴格的部門指引小心處理個人資料。