校园验毒试行计划存在漏洞 密码形同虚设

　　个人资料私隐专员公署表示，前年推出的大埔区校园验毒试行计划，在资料储存和外置装置均存在保安漏洞，有学校把载有学生个人资料及快速测试结果的USB记忆体，与相关密码的字条同放一处，令密码形同虚设。公署批评有关的资料保障政策未有统一标準，促请港府為日后计划进行私隐影响评估，并制订详细指引。

　　保安局禁毒处、教育局与大埔区23间公营中学於2010至2011学年推行校园验毒试行计划，个人资料私隐专员蒋任宏昨日发表有关的视察报告，指该计划的个人资料系统并无发现大的缺点，亦无发生资料外洩事件或接到违反条例规定的投诉，但资料储存和外置装置存在保安漏洞，而各单位和参与学校各自為政，制订资料保障政策及指引未有统一标準。

　　两校将USB与密码条同放 形同虚设

　　蒋任宏举例说，有学校把学生参与意向书存放於校长室的一个硬板纸箱内，并无上锁；公署调查更发现，校外专责队伍以USB记忆体储存参与学生个人资料和快速测试结果，虽然装置有密码保护，但有两间学校把USB记忆体与相关密码的字条放在一起，令密码形同虚设。

　　资讯科技的保安亦发现缺点，有参与学校职员利用自己的私人电脑处理参与学生资料，而政府聘请外判承办商提供专用伺服器储存参与学生的个人资料，但合约条文无规定承办商须提供安全措施以保障个人资料，而校外专责队伍亦无遵从禁毒处的规定而採用SSL技术把传送的资料加密，亦无使用双重身份验证以控制用户的使用权限。

　　推计划前无评估私隐影响

　　虽然禁毒处及教育局推行计划有諮询公署意见，以及编制整体指引《计划守则》，但蒋任宏指计划推行前并无评估私隐影响，令《守则》并不能全面涵盖涉及的保障资料议题，仅具原则性指引，缺乏针对性内容，不同情况的处理方法，例如学生转校，资料应怎处置等。他建议相关政府机构应為未来计划制订针对性的资料保障政策及程序指引。

　　禁毒处指措施符条例要求

　　保安局禁毒处回应表示欢迎公署的建议，认為建议可优化目前推行的「健康校园计划」，并表示已实行各项措施确保计划符合《个人资料（私隐）条例》的要求。

　　至於去年4月Sony PlayStation Network遭黑客入侵，以及报章揭发有本地银行收集网上银行用户的「cookies」资料，公署指由於事件无关个人资料私隐外洩或遭滥用，故不会採取进一步行动。