校園驗毒有私隱漏洞

【明報專訊】個人資料私隱專員公署視察大埔區校園驗毒計劃，發現部分參與中學未能妥善保障學生敏感的個人資料，包括沒有上鎖保管學生意向書、載有學生資料的USB記憶體連同密碼一同存放等。私隱專員蔣任宏建議政府當局制訂統一及針對性的保障資料指引。


校園驗毒試行計劃收集及處理大量學生個人資料，鑑於資料敏感，蔣任宏昨發表調查報告，發現學校只將學生及家長的意向書放在校長室的紙箱內；另有學校職員用電腦處理參與計劃的學生資料時沒有特別保護措施指引，甚至有學校將存有學生個人資料的USB記憶體，與載有密碼的字條放在一起；校外專責隊伍亦沒有採用禁毒處規定的技術，把傳輸進出電腦的資料加密及使用雙重身分驗證、控制用戶使用權限。


蔣任宏建議當局進行私隱風險評估，並制訂一套統一、針對性的資料保障程序和指引。倘日後推行強制性校園驗毒計劃，有更多學校、團體參與，更需要中央的機構指導資料保障工作。


私隱署促制訂統一程序指引

大埔區校園驗毒試行計劃在2009年至2011年兩個學年期間推行，區內有23間中學參與，目的是打擊青少年吸毒問題。


另外，本報兩年前揭發有銀行在提供網上服務中使用「cookies」，卻未有通知客戶收集的資料內容及目的，公署就此調查，向11間銀行展開跟進工作，結果沒有發現證據顯示銀行透過「cookies」收集個人資料，但銀行應通知客戶「cookies」收集的資料及目的。對於不希望自己網上銀行使用習慣被收集的人，銀行應提供拒絕裝置的方法；即使不可能拒絕「cookies」的安排，亦應讓客戶決定是否繼續使用網站。就此私隱專員發出《網上行為追蹤》資料單張，上載於私隱專員公署網頁（http://www.pcpd.org.hk）。


對於PlayStation Network早前遭黑客入侵，致帳戶資料外泄，有40萬個香港帳戶受影響，但考慮到由一間信用卡品牌認可的法證調查機構確認，入侵者沒有試圖查閱信用卡資料庫，因此公署決定不對其恢復服務採取進一步行動。