私隱公署：兆基書院及港專處理個人資料系統合規　倡就資訊保安等制定更具體政策 (12:17)

香港兆基創意書院及香港專業進修學校於2024年分別向私隱專員公署通報資料外泄事故，均涉及載有個人資料的資訊系統遭黑客入侵。私隱專員公署其後對兩間機構的個人資料系統及其資料保安視察及審視，發現兩校在處理學生及教職員個人資料方面，符合《私隱條例》的相關規定。不過公署亦分別向兩校提出不同建議，包括在資訊保安及資料保留方面制定更具體的政策。

私隱公署去年已根據既定程序分別就相關資料外泄事故展開並完成循規審查及調查，其後進一步檢視兩校的補救措施是否有效，以及對其載有個人資料的系統的資料保安作進一步全面審視。

視察結果顯示，兆基書院已採取多項技術性措施加強資訊系統的保安，包括建立修補程式的管理程序、為帳戶的虛擬私人網絡（VPN）登入啟用雙重認證功能；存取管控方面，書院採用「最小權限」及「角色為本」的存取管控機制，亦為員工提供有關保障個人資料及資訊保安的培訓。不過 ，個人資料私隱專員鍾麗玲仍建議校方提升資訊系統的偵測措施，以及加強對資料處理者在妥善銷毀其所持有的個人資料方面的管理與監督。

建議教育機構設立個人資料私隱管理系統　為員工提供定期培訓

港專方面，視察結果顯示，校方亦已採取多項技術性措施以加強資訊系統的保安及偵測能力，並已落實建立個人資料私隱管理系統，委任專責人員擔任保障資料主任等。港專同樣採用「最小權限」的原則及「角色為本」的存取管控機制，亦已制定資料外泄事故應變計劃。 鍾麗玲建議港專加強檢視載有個人資料的資訊系統紀錄，以及對資訊系統定期進行保安審計。

鍾麗玲亦為日常需要處理大量學生及教職員個人資料的教育機構提供建議，包括設立個人資料私隱管理系統、委任專責人員作為保障資料主任；制定明確針對資料管治和資料保安的內部政策和程序；定期向員工提供有關個人資料保障及資訊安全的培訓；採用「最小權限」的原則及「角色為本」的存取管控機制等。