個人資料私隱專員公署調查發現香港多間學校網站泄露了學生的個人資料。
圖片來自明報網站。
個人資料私隱專員公署調查發現,兩間專上院校和9間中小學網站泄露了8000多名學生的個人資料,其中早前被揭超額收生的嶺南大學持續進修學院,更泄露6000多名學生的姓名、手機甚至部分身分證號碼,令不法之徒有機可乘。私隱專員蔣任宏批評部分院校網上保安明顯不足,尤其兩間專上院校表現更令人失望,擔心調查結果僅冰山一角。
涉6256人 嶺大:已刪檔案
教育局長吳克儉認為調查對學校是好提示,局方一直對學校網絡安全有指引,會再次提醒院校着力保障學生資料。嶺大持續進修學院發言人承認處理資料的安排不當,已積極採取善後措施,包括即時從伺服器刪除檔案,聯絡互聯網公司移除連結,同時已設立小組監察網上內容。教院持續教育學院發言人說,校方一向尊重學生私隱,日後會確保個人資料獲充分保障,已即時刪除連結,並以書面通知涉及的百多名學生。
輕易尋得 家長電話電郵也外泄
公署去年4月跟進傳媒報道,在互聯網利用關鍵詞搜索,發現上述兩間大專及9間中小學的網站,泄露了8505人的個人資料(見上圖),其中嶺大持續進修學院泄露兩個學年共6256名學生資料。披露資料包括學生姓名、學生編號,甚至學生和家長的電話及電郵地址,主要是來自派位、學會等用途。
蔣任宏認為外泄事件惹人擔憂,公署只以簡單方法和花了20小時,便輕易發現網上大量學生資料外泄,擔心結果只是冰山一角,「可想而知實際情况肯定更嚴重,反映教育機構欠警覺性和網上保安措施明顯不足」。他特別批評兩大專院校的表現,指院校的資訊科技應用知識和資源理應較中小學優勝,但仍有大量資料外泄,表現欠佳。有關院校經公署通知後,已在網站刪除有關資料,公署至今未接獲投訴,故暫不打算展開正式調查或進一步執法。
另外,針對電話直銷的「直接促銷新規管機制」,暫定4月1日生效,屆時公司須向資料當事人清楚表明資料用途,以及會否把其個人資料轉交第三者作直銷用途,徵得當事人同意才可使用。不過公署提醒,若當事人未有明確提出反對,亦會當作同意資料被用作直銷。