選舉事務處兩度洩個人資料　私隱專員裁定違反私隱條例 (14:52)

選舉事務處早前發生兩宗個人資料外洩事故，個人資料私隱專員公署今日發表調查報告，私隱專員鍾麗玲裁定，選舉事務處違反了《個人資料（私隱）條例》保障資料第 4(1)原則有關個人資料保安的規定，已向選舉事務處送達兩份執行通知，指示選舉事務處糾正以及防止有關違規情况再發生，包括要求選舉事務處採取技術性保安措施管控電郵系統的使用，檢視並改善收集選委個人資料及發送大量附有個人資料的電郵的工作流程，及加強有關資訊保安及個人資料保障的培訓等。

選舉事務處表示，接納私隱公署的報告，並會採取執行通知所指明的步驟及跟進報告所提出的建議，以防止同類事件再次發生。

首宗個案在今年3月23日發生，私隱公署的報告指出，事發時疫情肆虐，選舉事務處職員分組在家工作，涉事的文書主任擬把兩個載有約15,000名選民登記資料的試算表檔案傳送至其私人電郵帳戶，以方便她翌日在家工作，當中包括相關選民中英文姓名及住址資料。不過，該文書主任輸入了錯誤的電郵地址，導致該兩個檔案被傳送至不明收件人。該文書主任留意到她傳送的電郵在十多分鐘後仍未送達她的私人電郵帳戶，才發現出錯，並立刻將情況通知助理選舉事務主任。

鍾麗玲認為這宗個案主要涉及人為錯誤，事故源於個別職員的疏忽和缺乏資料保障意識，以致違反選舉事務處有關資訊科技保安的指引，包括「僅使用部門的電郵系統以電郵方式傳送保密資料」及「不可使用個人電郵帳戶處理公務或傳送保密資料或個人資料」。

第二宗個案在今年4月28日準備特首選舉時發生，選舉事務處當時計劃發送測試短訊和電郵給選委及其助理，但職員在其中一個發送予38名選委及26名選委助理的電郵，錯誤夾附了附有一名選委及其助理個人資料的回條，當中載有該名選委及其助理的姓名、電郵地址、電話號碼，以及該名選委的簽署。

鍾麗玲認為這宗個案主要是由人為錯誤所引起，相關職員的疏忽及缺乏資料保障的意識，以及選舉事務處相關工作流程的不足所導致，另一方面，選舉事務處沒有就發送測試電郵的機制，包括核對步驟制定任何書面程序，從而增加了人為偏差及未有依循所需步驟的風險。