8間機構違反私隱條例　運輸署錯誤摺信致資料外露

個人資料私隱專員公署公佈公8宗，違反《私隱條例》規定的資料保安事故，分別涉及政府部門、醫療服務機構、航空公司、旅行社等。大部分事故都涉及職員疏忽，以致客戶個人資料被不當披露、未獲准許的意外查閱、處理或使用。

其中一宗個案涉及運輸署，有職員投寄市民更改地址的信件時，未有跟從既定的摺信要求，以致其他人可透過信封上的透明窗口，看到當事人的身份證號碼、信件標題及個案編號。運輸署其後承認事件，公署介入後，運輸署提醒職員必須跟進既定程序處理信件，並就摺信要求及程序，制定圖案指引，以及調整列載個案編號的位置。

個人資料私隱專員鍾麗玲認為，今次事故屬於個別事件，並非系統性問題，亦已採取一系列措施加強保障資料，高興看到部門完全配合公署的工作。

她又指，大部分事故涉及員工大意或工作習慣有失誤所致，而資料保安陷阱可能潛在每個工作步驟，呼籲機構加強員工對保障個人資料私隱的意識，以及培養良好的工作習慣，包括把保障個人資料私隱納入機構的核心價值、採取技術上的保安措施、制定清晰易明的工作指引，以及制定全面的資料外洩事故應變計劃等。

其餘的個案中，有醫療服務機構以網上表格收集市民個人資料時，意外把100多名登記人士的資料，向其他填表人士披露。由於機構未有對表格的「查看結果摘要」功能作出適當設定，令其他填表人士可透過相關功能，查看其他人的個人資料。機構知悉情況後，即時停用表格連結及移除表格，亦確保日後會正確設置有關功能。
另一宗個案，有旅行團領隊向團員分發團體電子機票，當中包括領隊及團員共30多人的英文姓名及出生日期。旅行社承認涉事領隊未有注意機票上有顯示乘客的出生日期，已通知旅行團團員自行銷毁有關團體電子機票。旅行社亦統一電子機票格式，只包含航班資料、團員姓名及電子機票號碼等。
亦有投訴指，登入航空公司會員帳戶系統時，被錯誤連結至另一會員的帳戶，並可查閱該會員帳戶內的個人資料。涉事的航空公司解釋，服務供應商使用錯誤指令碼，錯誤識別電郵地址中一些特殊符號為通用字符，導致錯誤連結至另一個電郵地址相似的帳戶。