私隱專員公署去年接獲246宗資料外洩事故通報 按年升21%

個人資料私隱專員公署回顧去年工作，私隱專員鍾麗玲今日（3日）表示，在2025年共接獲246宗資料外洩事故通報，較2024年的203宗增加21%；當中，去年涉及黑客入侵的資料外洩事故為81宗，按年增加33%。至於非法「起底」情況已大為改善，2025年經公署網上巡查發現的「起底」個案為9宗，較2022年的1134宗，大跌超過99%。

鍾麗玲指，私隱專員公署在2025年收到的投訴個案為4,228宗，較2024年的3431宗上升約23％。她表示，投訴個案沒有針對特定的事件，認為投訴增加與市民私隱意識增加有關。

約10％投訴個案涉投訴公營機構或政府部門

投訴個案中，約10％涉及投訴公營機構或政府部門。查詢方面，公署在2025年接獲17,691宗公眾查詢個案，較前一年輕微下跌2％。公署平均每個月接獲近1,500宗查詢個案，當中有關收集及使用個人資料，例如香港身份證號碼及/或副本的事宜佔比最多，佔整體查詢28%。

懷疑誘騙個人資料查詢涉大埔火災

此外，私隱專員公署於2025年接獲1,163宗與懷疑誘騙個人資料相關的查詢，與2024年相若。鍾麗玲指，當中包括大埔火災引致的查詢，但宗數不多。

不過，去年有關個人資料外洩事故通報達246宗，按年增加21%。鍾麗玲指，通報中有79宗來自公營機構、167宗來自私營機構；當中，來自學校及非牟利機構的外洩事故通報佔92宗。外洩事故中涉及最多的是黑客入侵，共81宗，按年增加33%；其餘涉及遺失文件或便攜式裝置、經電郵、郵遞或傳真意外披露個人資料、僱員違規、系統錯誤設定等。

資料洩事故最多涉及黑客入侵

鍾麗玲認為，資料外洩事故上升的原因，主要是因為數碼年代下，很多機構將個人資料以電腦系統、資訊系統去儲存，所以一旦涉及資訊系統或黑客等問題，資料外洩事故無可避免增多。她覺得這是全球性趨勢，其他司法管轄區時不時亦會發生一些大型資料外洩事故。她希望，社會大眾及公司能加強數據安全意識，及資訊系統的保安措施，又由於黑客一般會大範圍作出攻擊，因此非牟利機構及學校亦要做好防禦。

「起底」投訴以金錢糾紛最多

打擊「起底」方面，鍾麗玲指經過去4年執法、宣傳及教育後，非法「起底」情況已大為改善。公署於2025年共處理308宗「起底」個案，較2024年的442宗減少30%，亦較2022年，即「起底」條文生效後首年的630宗，下跌53%。當中，有299宗為公署接獲的「起底」投訴，當中主要原因為金錢糾紛，及家人/感情糾紛，分別佔45%及24%。值得一提的是，涉及政見糾紛的起底個案，只佔1.3%，可見社會氣氛已轉趨平和。

2025年內，公署就147宗「起底」個案展開刑事調查，並將47宗案件轉介予警方繼續跟進。公署在2025年合共拘捕了18人。被捕人士主要經社交媒體平台及即時通訊軟件，將事主「起底」。公署於年內合共向13個網上平台發出了32份停止披露通知，涉及56個「起底」訊息，即使通知送達對象大部分為海外網上平台營運商，應公署要求的遵從率超過98％。

鍾麗玲提到，自「起底」條文生效以來，公署成功透過發出停止披露通知，移除了250個用作「起底」的頻道。同時，公署主動經網上巡查發現的起底個案大幅減少，2025年僅9宗，較2022年的1134宗大跌超過99%。她指，公署會繼續果斷執法打擊「起底」罪行，確保市民的個人私隱獲得充分保障。

私隱專員公署早前介入3宗涉個人資料保安事故

另外，私隱專員公署早前介入3宗涉及個人資料保安的事故。個案中被投訴的機構均為投訴人的僱主，有關機構在處理僱傭資料時，因不同方面的缺失導致個人資料被不當披露，或受未獲准許的或意外的查閱、處理或使用，違反《私隱條例》的相關規定。助理個人資料私隱專員（投訴及刑事調查）何芹若表示，其中一宗的投訴人曾任職於一間保安服務公司。其上司將一份載有投訴人香港身份證號碼的終止僱傭合約通知書，發送至在即時通訊軟件開設的工作群組，導致該通知書內投訴人的個人資料被披露予該群組的其他員工。

她續指，另一個案是某酒店的保安部門主管，將部門員工的年度工作表現評核表存放於其工作枱的抽屜，由於該工作枱供保安部門員工共用且該主管未有按酒店的指引將抽屜鎖上，投訴人當時作為員工於主管的工作枱尋找其他文件時，無意中翻閱了抽屜中載有部門全體員工個人資料的評核表。最後一宗個案是一間社福機構的行政職員負責將投訴人的解聘紀錄文件掃瞄，惟過程中該職員錯誤將掃瞄本儲存於部門的共用資料檔案，令文件中投訴人的個人資料可被部門內的其他員工查閱。

私隱專員已向三間機構發出執行通知或警告信，指示該些機構糾正其違反事項，以及防止同類違反的行為再次發生。鍾麗玲呼籲僱主在保障員工個人資料方面訂定清晰的政策，避免因人為疏忽，或意識不足而忽略個人資料安全。她向僱主建議引入「個人資料私隱管理系統」，制定清晰的個人資料保安政策，同時訂立完善的工作流程及程序，及實施恆常的監察機制。僱主亦應該為員工提供針對性的培訓，以提升員工保障私隱的意識和能力；及建議僱主積極與員工溝通，與他們共同探討涉及處理個人資料的工作流程。

記者：趙克平
攝影：蘇正謙