個人資料私隱專員向選舉事務處送達執行通知

早前在政長官選舉，選舉事務處發現載有約1,200名選舉委員會委員及約378萬名地方選區選民的個人資料的兩部手提電腦遺失，個人資料私隱專員展開調查，於2017年6月12日發表調查報告。

私隱專員認為遺失第一部手提電腦， 即是內裏存放有個人資料，並未因此違反條例的私隱原則，因此沒有採取任何行動。至於第二部手提電腦， 私隱專員認為選舉事務處違反了私隱條例的要求，因此已向選舉事務處發出執行通知。

罪行及補償

違反保障資料原則並不直接構成刑事罪行，正如本事件中，即使私隱專員認為選舉事務處就第二部手提電腦， 已經違反了私隱條例內的私隱原則(保障資料第4(1) 項（資料保安）原則2 )，但最終也沒有 向該處提出刑事控告。惟私隱專員可發出執行通知，指令違反的人士／機構(選舉事務處)採取補救措施。不遵守執行通知屬於刑事罪行，一經定罪，可被判處最高罰款港幣五萬元及監禁兩年。因此，若選舉事務處乖乖地履行私隱專員的各項要求，便沒有刑責可言。

在選舉事務處違反了私隱條例當中原則的情況下，有關的市民其實可以向選舉事務處提出民事索償。若有人認為其個人資料私隱受侵犯而蒙受損失，包括情感傷害，可根據條例向相關的資料使用者選舉事務處申索，以彌補損失。私隱專員可代其提出法律程序以尋求補償，並給予法律協助。

報告指出

第一部手提電腦只載有選委的姓名，屬公開資料，加上姓名本身不屬敏感的個人資料，私隱專員認為即使遺失第一部手提電腦而令選委的姓名外洩，為選委造成損害的機會不大，而處方就第一部手提電腦存有的個人資料（選委的姓名）所採取的保安措施亦屬足夠。私隱專員認為處方沒有因遺失第一部手提電腦而違反《個人資料（私隱）條例》（「條例」）下的保障資料第4(1)項（資料保安）原則1。

第二部手提電腦除儲存可供公眾於正式選民登記冊查閱的全體選民姓名、地址外，還載有不作公開查閱兼屬敏感個人資料的選民身份證號碼。私隱專員認為處方應可避免遺失載有全體選民個人資料的第二部手提電腦，因而引起的關注可以理解。私隱專員認為，處方在檢視及審批使用載有選民的非公開並屬敏感的個人資料的查詢系統一事非常粗疏，蕭規曹隨，只顧依從過往做法，卻沒有適時按情況檢視或更新，從而制定一套完善的制度。處方所採取的保安措施與資料的敏感程度和資料洩漏可能引致的損害，平衡失據；為了提供所聲稱的服務而備存全體選民的個人資料所帶來的效益與引申的風險亦不合符比例。調查結果顯示，處方沒有採取所有合理地切實可行的步驟，確保選民的個人資料受保障而不受意外的喪失所影響，因而違反條例下的保障資料第4(1) 項（資料保安）原則2 。

私隱專員執行通知

基於公署調查發現處方在處理第二部手提電腦所涉及的個人資料一事違反有關規定，私隱專員決定依據條例第50(1)條3，向選舉事務處送達執行通知，以糾正違規事宜及防止事故重演。私隱專員指令處方：

• 禁止為行政長官選舉活動下載或使用地方選區選民的個人資料（姓名及地址除外）以作查詢之用並就此項指令定期向有關員工發出通告；
• 制訂有關選舉活動中就處理個人資料的內部指引，包括：
  • 技術保安措施（資訊系統加密及密碼管理）；
  • 實體保安措施；
  • 使用手提電腦或其他便攜式儲存裝置的行政措施；及
  • 實施有效的措施，確保職員遵從這些指引。