機電署今年5月公佈一宗資料外涉事故，其一個外判的網上伺服器平台涉兩年前COVID-19疫情期間，在圍封強檢14幢大廈收集強檢者資料，逾1.7萬名強檢者的個人資料外洩。個人資料私隱專員公署完成相關調查報告，裁定機電署違反《個人資料(私隱)條例》，已送達執行通知，要求採取糾正措施，並於兩個月內向公署提交報告。

【新聞有價記者有格立即訂閱：https://bit.ly/3wGQh7c】

事源於機電署於2022年3月至7月執行圍封強檢行動時，曾委託承辦商採購並使用雲端平台ArcGIS Online，以收集強檢行動中受檢測市民的資料。儘管該平台於2023年2月底合約屆滿，惟今年4月30日，私隱專員發現平台上的個人資料，可毋需登入下瀏覽。事件涉及14幢公屋大廈，包括啟晴邨、元州邨、友愛邨等，共約1.7萬名市民，包括姓名、地址、身分證號碼、有否接種新冠疫苗等資料遭洩露。

私隱專員鍾麗玲稱，機電署翻看2022年7月至本年4月平台的活動紀錄（Activity Log），發現紀錄不整，亦無法得知瀏覽權限更改為公開的成因，認為問題癥結在於強檢結束後為何未在合理時間內刪除資料。

鍾麗玲表示，調查發現機電署有4項缺失，包括未有就個人資料保存期間制訂書面政策、未有清楚向承辦商提出刪除相關資料的要求、沒有主動刪除相關個人資料，以及沒有適當跟進承辦商刪除資料的工作。

公署形容情況令人遺憾，遂向機電署發出執行通知，指令署方就使用第三方供應商處理個人資料方面制定書面政策或指引，包括與供應商訂立個人資料保存期限安排、訂定刪除資料責任誰屬等，並每年最少兩次向職員傳閱有關修訂指引。

8間機構透過JobsDB刊登匿名招聘均違《私隱條例》

公署同時公佈，早前調查8間機構透過JobsDB刊登匿名招聘廣告的個案時，發現JobsDB及8間機構以「私人廣告商」名義刊登招聘廣告而未披露機構名稱下，便要求求職者向其提供有關個人資料，裁定JobsDB及8間機構均違反《私隱條例》的保障資料規定，並已向JobsDB及3間招聘機構發出執行通知，亦向餘下5間機構發出勸喻信。
上述機構涉及業務涵蓋證券、服裝零售、中醫藥及運輸服務等，同時涉及準僱主及其代表。

被問及「執行通知」會否要求JobsDB移除「匿名招聘」功能，公署指「無開名」的廣告不一定是匿名廣告，執行通知中主要要求涉事機構及平台移除匿名廣告。而匿名招聘廣告一般指，該廣告沒有披露招聘機構名稱或提供足夠資料以辨識相關機構身分、沒有向求職者提供聯絡方式，並直接要求求職者遞交個人資料。

公署續指，私隱專員就JobsDB刊登匿名廣告情況五度查訊，發現在平台登記開立帳戶，則可透過其帳戶刊登廣告進行招聘；自本年1月起，求職者亦可根據廣告的指示，按「Quick apply」鍵遞交申請並提供所要求的個人資料。而JobsDB控制求職者的個人資料的收集、持有、處理，包括刪除及使用，而8間招聘機構亦在平台上收集求職者的個人資料，故均屬《私隱條例》下的「資料使用者」，必須遵從《私隱條例》及相關保障資料原則的規定。

私隱專員促請網上招聘平台營運商，慎防任何人利用匿名招聘廣告進行詐騙行為或不公平地收集個人資料，並小心審視接獲的廣告，以識別及避免刊登匿名招聘廣告。另呼籲刊登招聘廣告的僱主披露機構身分、避免刊登匿名招聘廣告，以及有需要時考慮委託招聘代理代為收集求職者個人資料，並在廣告中述明招聘代理身分。