個人資料保護辦公室

Gabinete para a Protecção de Dados Pessoais

Office for Personal Data Protection

調查個案摘要
Print

編號: 0020/2013/IP

標題: 列印網上報名的資料中包括他人的個人資料

立案原因: 主動立案

個案簡介:

    有市民來電反映,指其在A學校的網頁進行考生網上註冊登記,填妥報名表並列印報名資料時,一併列印出其他註冊者的資料。
  事件涉及資料處理的安全性問題,涉嫌違反《個人資料保護法》,故本辦公室主動立案跟進。

分析:

    根據《個人資料保護法》第4條第1款(一)項及第3條第1款規定,本案中有關資料的處理受《個人資料保護法》規範。
  本辦公室在接到投訴後即時通知A學校停用有關的網上登記系統,待糾正或修復並確保不會再外洩個人資料後,方可繼續使用。
  A學校覆函表示,是次該校資料外洩的網上登記系統由B公司開發及維護。本辦公室認為,網上登記的招生報名方式,由A學校決定採用,並委託資訊公司開發及維護,該網上登記系統與A學校的書面報名表格收集的資料相同,也是由A學校決定,故根據《個人資料保護法》第4條第1款(五)項規定,該校為負責處理個人資料的實體。而B公司在開發該系統時,雖然對系統的功能和操作有一定的決定權,但亦取決於A學校的委託,故B公司屬於同一法律第4條第1款(六)項規定的次合同人。根據A學校提供的資料,是次外洩事件涉及的資料種類包括:考生及其父母親的姓名、宗教、身份證編號、電話、電郵地址等個人資料,當中的宗教信仰資料屬敏感資料。
  按照經第39/99/M號法令核准之《民法典》第111條及續後條文規定,報讀幼稚園的考生均為未成年人,其無行為能力需要以親權彌補。因此,父母為子女報讀學校而主動向校方提供子女的個人資料,可視為A學校是在資料當事人明確同意下處理報讀考生的個人資料,在保障非歧視原則及《個人資料保護法》第16條所規定的安全措施的前提下,符合該法律第6條及第7條第2款(三)項規定的正當性條件。
  關於收集資料的適度問題,根據第5/98/M號法律(《宗教及禮拜的自由》)第10條第4款的規定,“在宗教教派所開辦的教育場所註冊者,推定其接受有關教派所採納的宗教及道德的教育……”。A學校由宗教組織開辦,除非報讀A學校的家長基於與其私人情況有關的正當和重大理由提出反對,並且反對的理由成立,否則,A學校可依法在其正當活動範圍內處理報讀者的宗教信仰資料,具有《個人資料保護法》第7條第3款(二)項規定的正當性條件。
  另外,本辦公室認為,根據第38/93/M號法令(《私立教育機構通則》)第32條第1款規定,私立教育機構的運作須:遵守所適用的法律和規章之規定;根據教育暨青年局之指示接受其教學檢查;以及根據教育暨青年局制定的《學校招生指引(2013/2014學年修訂本)》的規定,在招生時檢閱相關的證明文件正本,以核實學生的年齡及可在本澳居留或逗留。此外,按該局要求,報讀考生須向學校提供考生及其父母的證件影印本、健康證明書及地址。
  因此,A學校為招生透過網上登記系統收集報讀考生及其父母的上指資料,並未有明顯違反《個人資料保護法》第5條第1款(三)項規定的適度原則。
  有關個人資料處理的安全性問題,由於當中涉及敏感資料的處理,須符合《個人資料保護法》第15條及16條的規定。據本辦公室了解,A學校的網上登記系統要求用戶先註冊,再登入系統填寫報名資料並列印。即家長只有在系統識別其用戶身份後方能進入系統輸入及修改資料。再者,該系統的後台作業系統設有系統管理員的登入密碼,以阻止未經許可的人進入系統,查閱、修改、刪除或取走系統內的資料。可見,A學校已採取了一定的安全措施保護有關網上登記系統內資料的安全。
  按本辦公室的技術分析,是次外洩資料的原因是網絡流量超過負荷及程式設計存在問題。對於前者,在幼兒學位需求殷切的今天,辦學多年的A學校在決定網上報名之前,理應預料到網上報名系統需要應付龐大的流量。針對程式設計存在的問題,從B公司事故後的補救措施來看,相信如果在開發該系統時能充分考慮技術細節,有關的事故是可以避免的。
  關於對次合同人的監管問題,B公司在事發後雖簽署《保密聲明》,承諾向A學校提供軟件系統之解決方案後,保證其所有人員所知悉的資料內容絕對保密,但這只是約束其提供軟件系統之解決方案,不足以視作A學校對次合同人有足夠的指引或規管。
  是次外洩的資料種類眾多,而且包括宗教信仰資料,共6位資料當事人的資料被5個用戶查閱。顯然,A學校在系統開發階段,忽略了對系統使用量的評估,亦沒有對次合同人作出適當的規範及指引;在系統使用階段,也沒有妥善監管次合同人。
  因此,A學校未能採取相適應的安全措施保護報名者及其家長的敏感資料,違反《個人資料保護法》第16條第1款的規定。
  由於A學校涉嫌違反《個人資料保護法》之規定,可被科處罰款,根據10月11日第57/99/M號法令核准的《行政程序法典》第93條規定,就上述涉嫌違反之行為,本辦公室對A學校進行聽證。
  在聽證中,A學校沒有對涉嫌違反《個人資料保護法》的行為作出辯解,僅提出一些改善措施。因此,A學校未能就本辦公室對其作出的涉嫌違反《個人資料保護法》的指控提出合理及充分的辯解。

處理結果:

    A學校未能採取適當的安全措施保護網上登記的考生及其家長的敏感資料,違反了《個人資料保護法》第16條第1款規定,本辦公室決定:根據同一法律第33條第1款規定,科處A學校澳門幣4,000元罰款。

註:
參考《個人資料保護法》第 3,4,5,6,10,15,16,33條。

返回

澳門南灣大馬路804號中華廣場17樓 電話(853)2871 6006 傳真:(853)2871 6116