私隱公署｜資料外洩事故年增兩成　學校NGO重災區　籲提升網安系統抗黑客

個人資料私隱專員公署發表 2025 年度工作報告，在資料外洩事故方面去年接獲 246 宗通報，按年升兩成，有 79 宗來自公營機構、167 宗來自私營機構，以學校及非牟利機構為主，佔 92 宗。個人資料私隱專員鍾麗玲呼籲機構需提升電腦保安系統，抵禦黑客攻擊。

資料外洩事故的原因，最多是涉及黑客入侵，共 81 宗，較前年 61 宗增加逾三成，其餘原因包括遺失文件或便攜式裝置、經電郵、郵遞或傳真意外披露個人資料、僱員違規、系統錯誤設定等。

鍾麗玲認為資料外洩事故增多屬全球性趨勢，如有機構或非牟利組織資訊系統較薄弱，「甚至連防火牆都冇，佢（黑客）就會攻到入去」，公署建議公眾及企業加強數據安全意識、提升資訊系統的安全措施，「無論大小或任何行業，都唔可以掉以輕心」。

介入兩宗事故　均涉及被解僱員工

另外，公署早前介入 3 宗涉及個人資料安全事故，其中 2 宗均與文件數碼化相關。一名社福機構的行政職員，掃瞄「書面解聘紀錄表」時，誤存於一個由部門共用的檔案內。由於文件未有以密碼加密，導致所有部門員工均可閱覽相關文件，當中載有投訴人的姓名、入職日期、薪金、工作表現評核及被解僱的原因等。

涉事社福機構承認人為失誤，指文件存放於共用檔案約半小時，職員在發現事件後已即時將文件從檔案刪除，其間並沒有其他同事閱覽涉事文件之紀錄。

另一宗個案涉及保安服務公司，有職員在即時通訊軟件群組中，發放其下屬的終止僱傭合約通知書，導致其姓名、香港身份證號碼及被解僱的資料被披露。涉事公司解釋該訊息是通知其他職員該員工已被解僱，不可再進入工作人員專屬範圍及內部資料，承認該上司在匆忙且沒有深思熟慮的情況下於群組發放通知書。

鍾麗玲認為兩宗事故均涉及員工疏忽大意，以及對個人資料，特別是敏感性個人資料的保存、保護資料意識不夠。公署已發出執行通知，要求相關機構，加強對員工培訓。