公司註冊處資料外洩10.9萬人受影響　私隱公署促全面檢視系統確保無漏洞

個人資料私隱專員公署完成對公司註冊處資料外洩事故的調查，並發表調查結果。

私隱專員公署

發言人說事件源於公司註冊處去年4月通報的資料外洩事故，表示「電子服務網站」內的電子查冊系統出現個人資料外洩風險。公署調查後認為，公司註冊處在翻新系統的過程已採取一系列保安措施，包括處方透過合約規範要求承辦商在翻新相關系統所採取的措施、處方及承辦商在推出相關系統前進行的測試及評估，以及額外的編碼審查，因此認為沒有足夠證據顯示公司註冊處違反保障資料第4(1)原則。

私隱公署指出，考慮到相關系統的個人資料確實曾經存在外洩風險，公署已建議公司註冊處對載有個人資料的系統進行定期及全面的檢視，確保沒有其他系統設計及安全漏洞。

公司註冊處

公署補充說，根據公司註冊處及承辦商提供的資料，外洩事件源於在設計系統的相關功能時使用了常用模組，未有移除部分數據字段，導致「額外」的個人資料被傳輸到查冊者的電腦。調查顯示，公司註冊處自2023年12月推出相關系統起，便出現上述情況，但相關「額外」資料並非顯示在查冊結果頁面上，亦無證據顯示涉事的「額外」個人資料曾受到未獲准許的或意外的查閲。

外洩事件可能有約10萬9千人受影響，近九成涉及的個人資料，包括公司董事資料，仍可從已登記文件中經查冊服務查閱。公司註冊處事後已通知所有可能受影響人士、即時修正相關系統設計、委託獨立的第三方全面檢視系統，採取改善措施防止類似事件再次發生。

香港兆基創意書院及香港專業進修學校去年分別發生涉及黑客入侵的資料外洩事故，私隱專員公署完成視察兩間教育機構的個人資料系統。私隱專員認為整體來說，兩間教育機構在處理學生及教職員的個人資料方面，符合《私隱條例》附表有關資料保安的規定。

個人資料私隱專員公署(圖片來源:星島日報)

視察結果顯示，兆基書院在資訊系統遭黑客入侵後，已採取多項技術性措施以加強資訊系統的保安，包括建立修補程式的管理程序、為帳戶的虛擬私人網絡（VPN）登入啟用雙重認證功能及設定高強度密碼。在存取管控方面，兆基書院採用「最小權限」及「角色為本」的存取管控機制。

私隱專員建議兆基書院，在資訊保安及資料保留方面制定更詳細及具體的政策、提升資訊系統的偵測措施，以及加強對資料處理者在妥善銷毀其所持有的個人資料方面的管理與監督。

香港兆基創意書院去年發生涉及黑客入侵的資料外洩事故。 香港兆基創意書院圖片

公署表示，港專在事故發生後，已採取多項技術性措施以加強資訊系統的保安及偵測能力，並已落實建立個人資料私隱管理系統，委任專責人員擔任保障資料主任，以及為員工提供有關保障個人資料的培訓及資訊，提高員工網絡安全及防範可疑電郵的意識。

私隱專員建議港專，制定更全面及具體的資訊保安政策及資料保留政策、加強檢視載有個人資料的資訊系統紀錄，以及對資訊系統定期進行保安審計，以進一步保障所持有的個人資料。