私隱公署偕全球15個相關機構發聲明 關注社交媒體擷取數據問題

個人資料私隱專員公署聯同全球15個私隱或資料保障機構發布環球聯合聲明，關注社交媒體平台的數據擷取及私隱保障問題，並向業界提供進一步指引。

社交媒體平台大規模擷取個人資料。資料圖片

私隱專員鍾麗玲表示，社交媒體平台大規模擷取個人資料訓練人工智能系統，可引起重大的私隱問題，可導致個人資料在不知情和不同意的情況下於暗網出售，以致個人資料被用於針對性的網絡攻擊、身份盜竊，以及濫發直接促銷或垃圾郵件等。

她說，私隱專員公署作為環球私隱議會國際執法合作工作分組聯席主席，聯同其他機構發聯合聲明，是希望提醒社交媒體平台及其他載有可供公眾查閱個人資料的網站，有責任確保個人資料受到充分保障，免被非法數據擷取。

聯合聲明列出聯署機構對環球保障私隱的期望指引，包括機構應綜合使用多種保安措施，定期審視及更新，確保已考慮擷取技術及科技的發展；機構應考慮使用AI技術加強防禦非法數據擷取；若數據擷取是在獲准許的情況下進行，例如供商業或社福用途，機構應確保相關行為合法及符合合約條款；當機構准許第三方合法從所營運的平台收集公開的個人資料時，機構應考慮提供應用程式介面，以控制存取資料，以及偵測和減輕未獲授權的數據擷取；及機構使用個人資料開發AI模型時，應遵從相關資料保障和私隱法律，以及所適用的指引。

私隱專員鍾麗玲。資料圖片

公布機電工程署個人資料外洩事故調查結果，懷疑外洩的個人資料涉及前年疫情期間「強檢行動」中受檢測人士的個人資料，包括姓名、地址、身份證號碼及電話號碼等，涉及超過17000人。公署裁定機電署沒有採取所有切實可行步驟，以確保保存時間不超過使用實際所需時間，亦沒有採取所有切實可行的步驟，以確保涉事的個人資料受保障而不受未獲准許或意外的查閱等，違反《私隱條例》規定。

機電署

報告提到，機電署於2022年3至7月執行14次強檢行動，之後將資料上載到雲端平台。今年4月，發現相關資料可以在毋須輸入帳戶及密碼的情況下，在雲端平台被瀏覽，署方同日要求承辦商從平台中移除有關資料並向公署通報。報告指出，機電署認為在合約屆滿後，該電子平台的帳戶會失效，有關資料亦會自動刪除。

香港個人資料私隱專員公署FB圖片

私隱專員鍾麗玲認為，事件主因包括機電署的沒有就相關個人資料保存期限制訂書面政策，為資料的存廢提供明確依據，亦未有清楚向承辦商提出刪除相關資料的要求。她說，做法明顯未能符合《私隱條例》要求，有負公眾的合理期望，令人遺憾。

私隱專員已向機電署送達執行通知，指示採取措施糾正違規事項，防止類似違規情況再發生。