個人資料私隱專員公署已經完成對選舉事務處兩宗個人資料外洩事故的調查,並於今日發表調查報告。
調查個案(一):選舉事務處職員錯誤地把載有選民資料的檔案以電郵發送至不明收件人
事件(一)發生之時正值本地第五波2019冠狀病毒病疫情肆虐,當時選舉事務處作出特別在家工作安排,把職員分成不同組別交替在家工作,以減少社交接觸。涉案的文書主任(該文書主任)獲安排在某些日子在家工作。
2022年3月23日晚上7時左右,該文書主任擬把兩個載有約15,000名選民登記資料(包括中英文姓名及住址資料)的試算表檔案(該兩個檔案)傳送至其私人電郵帳戶,以方便她翌日在家工作。然而該文書主任卻輸入了錯誤的電郵地址,導致該兩個檔案被傳送至不明收件人。該文書主任留意到她傳送的電郵在十多分鐘後仍未送達她的私人電郵帳戶,才發現出錯,並立刻將情況通知助理選舉事務主任。
根據調查所獲得的證據,個人資料私隱專員(私隱專員)認為以下原因導致是次資料外洩事故:
1. 選舉事務處職員沒有遵從部門有關資訊科技保安的指引;
2. 選舉事務處職員的資料保障意識不足;及
3. 選舉事務處的資訊保安措施不足。
私隱專員鍾麗玲經調查後認為這宗個案主要涉及人為錯誤。資料外洩事故源於個別職員的疏忽和缺乏資料保障意識,以致違反選舉事務處有關資訊科技保安的指引,包括「僅使用部門的電郵系統以電郵方式傳送保密資料」及「不可使用個人電郵帳戶處理公務或傳送保密資料或個人資料」。有關職員在沒有充分考慮所涉及的安全風險及未有仔細核對收件人的電郵地址的情況下,單純地為方便在家工作而將載有大量個人資料的電郵發送到選舉事務處電郵系統以外的錯誤電郵地址。另一方面,私隱專員發現選舉事務處在事發前並未設置適當的資訊保安措施,令職員可隨意將載有個人資料的檔案透過選舉事務處的電郵系統發送到其電郵系統以外的私人電郵地址,亦是這宗個案發生的肇因。
調查個案(二):選舉事務處錯誤地將一名選舉委員會委員送交的回條夾附在測試電郵內
事件(二)在選舉事務處準備舉行2022年行政長官選舉(該選舉)時發生。為準備該選舉,選舉事務處計劃於2022年4月27日發送測試短訊及/或電郵給已提供流動電話號碼及/或電郵地址的選委及/或其助理,以確保他們能接收與選舉有關的資訊。
選舉事務處在收到選委及其助理提供的聯絡資料回條後,以人手將回條上涉及約1,800名選委及其助理的資料輸入至一份電腦資料總表(該資料總表)。可是,於計劃發送測試電郵當日(即2022年4月27日)作出多次核對後仍發現該資料總表存在不準確的資料,負責監督是次發送測試電郵(及短訊)的工作的高級項目主任(該高級項目主任)遂指示職員分批次核對電郵地址及發送測試電郵。
為方便核對,負責發送測試電郵的行政助理把電腦螢幕分為左右兩邊視窗,左邊顯示測試電郵擬稿,而右邊則顯示電子版回條。行政助理使用鍵盤的上下箭頭鍵選擇相應的回條(以預覽視窗方式顯示),逐一核對已輸入至測試電郵擬稿「副本密送」欄內的電郵地址。其後一名選舉事務主任及該高級項目主任會於行政助理的電腦分別進行第二及第三次檢查。只有在該高級項目主任以電子版回條覆核有關電郵地址及確定測試電郵內容無誤後,行政助理才會按下「傳送」鍵發送有關電郵。
為加快程序,該高級項目主任指示自第四批次起省略第二次檢查。
直至2022年4月28日早上,職員在覆核已發出的測試電郵時,發現一個於上午4時42分發送予38名選委及26名選委助理的電郵,錯誤夾附了附有一名選委及其助理個人資料的回條,當中載有該名選委及其助理的姓名、電郵地址、電話號碼,以及該名選委的簽署。
根據調查所獲得的證據,私隱專員認為以下原因導致是次資料外洩事故:
1. 選舉事務處職員疏忽及資料保障的意識不足;
2. 選舉事務處的工作流程明顯存有不足;及
3. 相關工作欠缺書面程序。
私隱專員經調查後認為這宗個案主要是由人為錯誤所引起。這宗個案是由於相關職員的疏忽及缺乏資料保障的意識,以及選舉事務處相關工作流程的不足所導致。在這宗個案當中,不準確的資料總表明顯地導致了工作流程的突然改變,以致職員須在午夜之後對測試電郵擬稿中的電郵地址與電子版回條進行最後一刻的核對。私隱專員認為如果選舉事務處備有恰當的工作流程,以確保該資料總表能適時及準確地備妥,有關職員則毋須在時間緊迫下進行最後一刻的人手核對,亦毋須利用不穩妥的方式進行核對;同時,如果相關職員在核對的過程中更為謹慎,應可避免這宗個案的發生。
另一方面,選舉事務處沒有就發送測試電郵的機制,包括核對步驟制定任何書面程序,從而增加了人為偏差及未有依循所需步驟的風險。私隱專員理解選舉事務處職員進行最後一刻的核對時所面對的壓力,但書面程序的欠缺無可避免地增加了人為錯誤的風險,尤其是考慮到當職員須長時間工作,以及為了加快整個工作流程而省略了第二次檢查,以致削弱了原先三層檢查機制的有效性。
綜合而言,私隱專員鍾麗玲認為:「兩宗個案突顯選舉事務處沒有採取所有切實可行的步驟以確保個人資料受到保障,而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,我因而裁定選舉事務處違反了《個人資料(私隱)條例》保障資料第 4(1)原則有關個人資料保安的規定。」
私隱專員已向選舉事務處送達兩份執行通知,指示選舉事務處糾正以及防止有關違規情況再發生,包括要求選舉事務處採取技術性保安措施管控電郵系統的使用,檢視並改善收集選委個人資料及發送大量附有個人資料的電郵的工作流程,及加強有關資訊保安及個人資料保障的培訓等。
除此之外,私隱專員樂見選舉事務處致力從事件中汲取教訓。在兩宗事故發生後,選舉事務處已加強保安措施及檢視相關的處理個人資料的工作流程,以加強個人資料私隱的保障。
私隱專員亦希望藉此報告,向持有大量個人資料的機構作出以下建議:
1. 貫徹落實個人資料私隱管理系統;
2. 就非常規的工作安排進行私隱風險評估並制訂具針對性的指引;
3. 建立有效的個人資料保安教育及培訓計劃;及
4. 使用資訊保安措施以減少人為錯誤的風險。
下載《調查報告:選舉事務處兩宗資料外洩事故》:
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r22_4116_c.pdf
-完-