公布機電工程署個人資料外洩事故調查結果,懷疑外洩的個人資料涉及前年疫情期間「強檢行動」中受檢測人士的個人資料,包括姓名、地址、身份證號碼及電話號碼等,涉及超過17000人。公署裁定機電署沒有採取所有切實可行步驟,以確保保存時間不超過使用實際所需時間,亦沒有採取所有切實可行的步驟,以確保涉事的個人資料受保障而不受未獲准許或意外的查閱等,違反《私隱條例》規定。
機電署
報告提到,機電署於2022年3至7月執行14次強檢行動,之後將資料上載到雲端平台。今年4月,發現相關資料可以在毋須輸入帳戶及密碼的情況下,在雲端平台被瀏覽,署方同日要求承辦商從平台中移除有關資料並向公署通報。報告指出,機電署認為在合約屆滿後,該電子平台的帳戶會失效,有關資料亦會自動刪除。
香港個人資料私隱專員公署FB圖片
私隱專員鍾麗玲認為,事件主因包括機電署的沒有就相關個人資料保存期限制訂書面政策,為資料的存廢提供明確依據,亦未有清楚向承辦商提出刪除相關資料的要求。她說,做法明顯未能符合《私隱條例》要求,有負公眾的合理期望,令人遺憾。
私隱專員已向機電署送達執行通知,指示採取措施糾正違規事項,防止類似違規情況再發生。
個人資料私隱專員公署完成對公司註冊處資料外洩事故的調查,並發表調查結果。
私隱專員公署
發言人說事件源於公司註冊處去年4月通報的資料外洩事故,表示「電子服務網站」內的電子查冊系統出現個人資料外洩風險。公署調查後認為,公司註冊處在翻新系統的過程已採取一系列保安措施,包括處方透過合約規範要求承辦商在翻新相關系統所採取的措施、處方及承辦商在推出相關系統前進行的測試及評估,以及額外的編碼審查,因此認為沒有足夠證據顯示公司註冊處違反保障資料第4(1)原則。
私隱公署指出,考慮到相關系統的個人資料確實曾經存在外洩風險,公署已建議公司註冊處對載有個人資料的系統進行定期及全面的檢視,確保沒有其他系統設計及安全漏洞。
公司註冊處
公署補充說,根據公司註冊處及承辦商提供的資料,外洩事件源於在設計系統的相關功能時使用了常用模組,未有移除部分數據字段,導致「額外」的個人資料被傳輸到查冊者的電腦。調查顯示,公司註冊處自2023年12月推出相關系統起,便出現上述情況,但相關「額外」資料並非顯示在查冊結果頁面上,亦無證據顯示涉事的「額外」個人資料曾受到未獲准許的或意外的查閲。
外洩事件可能有約10萬9千人受影響,近九成涉及的個人資料,包括公司董事資料,仍可從已登記文件中經查冊服務查閱。公司註冊處事後已通知所有可能受影響人士、即時修正相關系統設計、委託獨立的第三方全面檢視系統,採取改善措施防止類似事件再次發生。
