個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

调查个案摘要
Print

编号: 0122/2015/IP

标题: 医院文件散落街道

立案原因: 主动介入

个案简介:

    2015年10月13日凌晨,有人发现卫生局仁伯爵综合医院的大量病人文件散落于罗理基博士大马路上,本办公室得悉事件后主动立案跟进。

分析:

  本办公室于2015年10月15日收到卫生局的书面通报,后经两次去函卫生局,取得如下资料:
  1. 事件起因
  卫生局的两名人员在2015年10月12日丢弃机密废料时,无依照局方的《机密废料处理指引》用碎纸机销毁机密废料或者将机密废料交给卫生局住院服务处,反而自行装进黑色胶袋当成一般垃圾,两人共丢弃了六袋以黑色胶袋包装的机密废料。
  当晚,澳门清洁专营有限公司在仁伯爵综合医院收集垃圾后,其中一辆垃圾车的压板运作不良,不能把车边的垃圾压至车中,垃圾车司机打算更换另外一辆垃圾车,途中意外掉落一袋垃圾但未有发现。
  卫生局于半夜接报后即派人到文件掉落地点执拾文件,澳门清洁专营有限公司也安排了团队沿路巡查和执拾文件,经清理后路面已无文件遗留。
  1. 散落街道的文件是仁伯爵综合医院临床病理科和血液科化验室的化验报告、各种测试申请单等,当中载有病人的医疗咭编号、身份证号码、姓名、出生日期/年龄、性别、诊室类别、检验项目及结果等。
  2. 事发前,卫生局已制定《〈个人资料保护法〉的配套指引》、《机密废料处理指引》、《机密废料处理制度工作指引──外判公司及清洁工作人员》及《机密废料处理制度工作指引──住院服务处》。
  《机密废料处理指引》规定当废料中含有个人资料,即属机密废料,医院内各个部门对机密废料的处理程序都需要遵守《机密废料处理指引》,并将机密废料分为四类(纸张与相片类、录影带类、医疗物品类、电脑设备及物品类),并规定相应的处理程序及负责部门。按照指引,卫生局规定纸张与相片类机密废料的处理方法有两种:

  (1)部门每天自行使用碎纸机销毁,然后按一般废物方式处理,澳门清洁专营有限公司会将仁伯爵综合医院的垃圾运往澳门垃圾焚化中心。

  (2)如需要处理较大量废料,部门可使用医院住院服务处的定期机密废料收集服务。部门要先将机密废料放入「机密废料收集袋」并用束带扎好,再预约清洁服务供应商上门收集。交收时,清洁服务供应商会即场登记,并检查部门是否已将机密废料放入专用袋内并扎紧袋口,扎带会写上部门简称以兹识别。清洁服务供应商会将收集好的机密废料袋用密封的手推车运送至有盖的车辆,由住院服务处的人员陪同至澳门垃圾焚化中心焚毁。住院服务处负责监管清洁服务供应商的工作,包括:核对废料袋的数量及所属部门是否与交收登记一致,废料袋的封条是否妥当,监督废料袋运往焚毁的过程,保管记录等。
  1. 事后,卫生局立即发出内部命令,规定即日起所有载有机密或私隐资料的文件须先用碎纸机毁碎,随即更新了《机密废料处理指引》,规定所有部门应每天自行以碎纸机销毁机密废料,然后以一般废物的方式处理,取消由住院服务处定期收集机密废料的安排。现时经碎纸机销毁的机密废料要放入专用绿色垃圾袋内封好,磅重后才能丢弃;部门主管需掌握部门内每月申领的垃圾袋数目、用量及每袋垃圾的重量,以建立数据恒常监察操作人员处理机密废料的情况。
  由于散落街道的医院文件中印有病人的身份资料及检验结果,属于特定人士健康范畴的敏感资料,所以卫生局处理敏感资料须采取《个人资料保护法》第四章「处理的安全性和保密性」第15条与第16条规定的安全措施。
  《个人资料保护法》第15条规定:
  “一、负责处理个人资料的实体应采取适当的技术和组织措施保护个人资料,避免资料的意外或不法损坏、意外遗失、未经许可的更改、传播或查阅,尤其是有关处理使资料经网络传送时,以及任何其他方法的不法处理;在考虑到已有的技术知识和因采用该技术所需成本的情况下,上述措施应确保具有与资料处理所带来的风险及所保护资料的性质相适应的安全程序。
   二、负责处理个人资料的实体,在委托他人处理时,应选择一个在资料处理的技术安全和组织上能提供足够保障措施的次合同人,并应监察有关措施的执行。
   三、以次合同进行的处理,应由约束次合同人和负责处理资料实体的合同或法律行为规范,并应特别规定次合同人只可按照负责处理资料的实体的指引行动,并须履行第一款所指的义务。
   四、与资料保护有关的法律行为之意思表示、合同或法律行为的证据资料,以及第一款所指措施的要求,应由法律认可的具有证明效力的书面文件载明。”
  《个人资料保护法》第16条规定:
  “一、第七条第二款和第八条第一款所指的负责处理资料的实体应采取适当的措施,以便:
   (一) 控制进入设施:阻止未经许可的人进入处理上述资料的设施;
   (二) 控制资料载体:阻止未经许可的人阅读、复制、修改或取走资料的载体;
   (三) 控制输入:阻止未经许可而对已记载的个人资料加入其他资料,以及未经资料记载人许可的知悉、修改或删除;
   (四) 控制使用:阻止未经许可的人透过资料传送设施使用资料的自动化处理系统;
   (五) 控制查阅:确保经许可的人只可以查阅许可范围内的资料;
   (六) 控制传送:确保透过资料传送设施可以查证传送个人资料的实体;
   (七) 控制引入:确保可以在随后查证引入了哪些个人资料、何时和由谁引入,该查证须在每一领域的适用规章所定的、与资料处理的性质相符的期间内进行;
   (八) 控制运输:在个人资料的传送和其载体的运输过程中,阻止以未经许可的方式阅读、复制、修改或删除资料。
   二、考虑到各负责处理资料的实体的性质和进行处理的设施的种类,公共当局在确保尊重资料当事人的权利、自由和保障的情况下得免除某些安全措施。
   三、有关系统应确保将与健康和性生活有关的个人资料,包括遗传资料,同其他个人资料分开。
   四、当第七条所指的个人资料在网络上流通可能对有关当事人的权利、自由和保障构成危险时,公共当局得决定以密码进行传送。”
  
  卫生局的机密废料处理程序是个人资料处理的最后阶段(删除或销毁资料),并非中间过程,亦与资讯系统无关,所以《个人资料保护法》第16条第1款所指的「控制进入设施」、「控制输入」、「控制使用」、「控制传送」及「控制引入」这五个方面不适用于此。
虽然卫生局设置了两种纸张与相片类机密废料的处理方法,不过《机密废料处理指引》中写明员工应尽可能即时自行按指引处理机密废料,避免积存或转介其他部门处理,并在完成处理前将机密废料以机密资料的方式看待和保管,以减少泄密风险。
  首先,当部门自行碎毁然后按一般废物的方式处理机密废料时,由于这些机密废料已不能辨别原来资讯,随后只会交给澳门清洁专营有限公司直接从医院运往澳门垃圾焚化中心,所以资料载体已不能被人阅读或使用,旁人亦难以从中复制、修改或取走资料,这种处理机密废料的方式符合《个人资料保护法》第16条第1款(二)、(五)及(八)项规定的要求。
  其次,即使部门不自行碎毁而寻求住院服务处的机密废料收集服务,部门也必需先将机密废料放入专用袋内兼用束带扎好,之后接收的住院服务处及清洁服务供应商都不会接触到袋内完整的纸张与相片类废料,而且交收时有登记程序,清洁服务供应商亦要使用有盖密封式之手推车与车辆运送机密废料袋,如发现机密废料袋口松脱或袋身破损时需即时通知住院服务处跟进,最后在住院服务处监督及核对下把各部门交来的机密废料袋全数直接送往澳门垃圾焚化中心,可见上述程序中卫生局在「控制资料载体」、「控制查阅」及「控制运输」方面都有针对性措施,防止机密废料自源头(各个部门)至运往焚毁的过程中被未经许可的人阅读、复制、修改或取走资料,所以亦符合《个人资料保护法》第16条第1款(二)、(五)及(八)项的规定。
  实际上,把不需再保存的纸张与相片类个人资料碎毁是常见且保险的做法,而不论卫生局内各个部门以两种中哪一种方法处理机密废料,一般情况下外来人员只有澳门清洁专营有限公司与清洁服务供应商会经手处理,但他们都是直接将机密废料从医院送往澳门垃圾焚化中心,且正常的运输程序中未发现有增加资料外泄风险的不必要接触或操作。而且,卫生局已分别为机密废料丢弃程序的三个执行方(各个部门、住院服务处及清洁服务供应商)制定书面指引,其中针对清洁服务供应商的部分,卫生局亦已将机密废料收集服务的规则及要求加入外判合同与承投规则中,明令清洁服务供应商人员负有职业保密义务,不得打开机密废料袋或者另作其他用途,并由住院服务处专责监督。
  由此可见,上述措施达到《个人资料保护法》第15条对负责处理个人资料的实体所订出保护个人资料及监察次合同人的要求。
  如卫生局的人员严格按照既定的两种方法处理纸张与相片类机密废料,理应不会发生2015年10月12日的事件(完整纸张的机密废料从垃圾车开口掉落街道)。鉴于卫生局的纸张与相片类机密废料处理程序符合《个人资料保护法》第15条和第16条对安全措施的要求,所以事件不能归咎于卫生局本身的程序和措施。
  卫生局事后亦已采取改善措施:部门每天自行碎毁是现时处理纸张与相片类机密废料的唯一方法,碎毁的机密废料要放入指定的绿色胶袋扎好再经仪器磅重才可丢弃。
  上述措施一来确保不会有完整的纸张与相片类机密废料外流,缩减丢弃程序中经手处理资料的步骤及人手(住院服务处与清洁服务供应商不需再协助其他部门处理未经碎毁的机密废料),减少机密废料外泄的机会及风险;二来建立恒常机制监察机密废料丢弃程序的执行情况,让部门主管可从数据中发现异常状况,防止人员违规。

处理结果:

    本案所针对的是个人资料处理的安全性问题。在分析卫生局于2015年10月12日发生医院文件散落马路事件时已生效的指引,该局针对纸张与相片类个人资料所制定的丢弃程序,在安全措施上并无违反《个人资料保护法》第15条和第16条的规定,事件不能归责于卫生局。
  然而,虽然本次事件的发生不是卫生局本身程序问题所致,惟该局仍有必要汲取教训,强化监察,慎防人员不按既定程序办事而不被察觉。因应卫生局已即时针对本次事件制定相应的改善措施,尤其是建立恒常机制监管人员按章工作,防止同类事件再发生,基此,本案已归档。

注:
参考《个人资料保护法》第15,16条。

返回

澳门南湾大马路804号中华广场17楼  电话:(853) 2871 6006  传真:(853) 2871 6116