香港民意研究所(香港民研)被人爆料狙擊,其回應可謂漏洞百出。
早前有網民「Tony Mike」在telegram 爆料,香港民研保留了2013年港大民研(香港民研的前身)協助警察做民調的資料,懷疑因此令警員的資料外洩。之後,香港民研回應指,telegram所引述的資料,並非來自他們的系統,又稱系統並無被入侵,而2013年所做的調查,在調查完成後6 個月內,警員資料已經被銷毀云云。
Tony Mike自稱「IT和理非」,話爆咗入香港民研個「侏羅紀系統」,見香港民研堅稱系統無被入侵,睇嚟相當慶,所以昨日又第二波爆料,直指香港民研講大話,指香港民研未有銷毁過去的民調資料,又發出多個不同民研的受訪者個人資料圖片,證明香港民的資料已外洩。
香港民研負責人鍾庭耀,被人爆料爆到一身蟻。
昨日香港民研搞咗半日再回應,主要有4點:
1. 重申團隊一直遵守非常嚴格的資料保密守則,例如在進行數據處理程序之前,每個成功案例的電話和其他個人身份標識會從原始數據中分離出來, 而所有含個人識別資料的數據, 系統會在調查完成後6個月內銷毀。
2. 根據技術顧問的檢查結果,雖然過去幾日確實有人攻擊香港民研的防火牆及嘗試入侵系統,但沒有跡象顯示這些入侵行為成功,而任何所謂從電腦中取得的資料,都並不存在於我們的研究數據系統中。
3. 根據現時被公開的資料,不排除有黑客非法入侵了我們職員、前職員、或合作夥伴的私人電郵系統,因而取得了一些零碎的資料。而我們亦發現被盗取的電郵內容,有被剪裁過或扭曲了原文的意思。HKPORI 是 HKUPOP 的直接延續,所以我們確有保留所有電郵,但現未能確定電郵系統是否及何時被入侵。
4. 就報道中提及跟警方合作的項目,在提交研究報告後,已立即將所有資料(通常以CD形式)交還給警方,並把資料與所載 CD同時銷毀。
以上香港民研的回應,好明顯係用一種「死口唔認」的方法,堅持不承認系統被人「黑」入盜取了資料,但回應漏洞很多,至少出現3個死位:
第一,長時期多個調查資料為何外洩。爆料者爆出港大民研由2010至2016年所作至少4項調查的資料,如果真的是在調查完成6個月內已銷毀資料,為何橫跨這麼長時期、不同調查的資料仍會漏出去呢?
第二,指控職員似想轉移目標。香港民研指,不排除有黑客入侵了職員、前職員、或合作夥伴的私人電郵系統,因而取得了一些零碎的資料。不是說都已經銷毁了嗎?爆料人披露的調查受訪者資料見到詳細的個人資料(包括姓名、電話、電郵等),並不「零碎」,若已銷毁根本不應該儲存於職的「電郵系統」內。
第三、即使職員洩漏也是大問題。若香港民研聲稱已燒毁了資料,事實上卻會讓職員等私自下載保留,並洩漏出去,本身也是犯法。根據《私隱條例》保障資料第4原則[3],資料使用者必須採取所有合理地切實可行的步驟,確保所收集的個人資料的安全而不受未獲授權的或意外的查閱、處理、刪除或其他使用所影響。
如果香港民研的職員,可以隨意將被訪者的個人資料下載及帶走,香港民研的保安程序確實非常有問題。
總的來說,香港民研的解釋漏洞百出,他們想吹出一個印象: 他們的電腦系統很安全,即使有外人想入侵亦不成功,資料並未由他們的系統外洩。但香港民研無法解釋,為什麼仍然有這麼多不同的民調資料可以洩露出去,只把責任推卸給所謂「職員、前職員或合作夥伴」,這個解釋好難收貨喎。
小鯊
** 博客文章文責自負,不代表本公司立場 **
早前有網民爆料,話香港民研保留2013年港大民研(香港民研的前身)協助警察做民調的資料,懷疑因此令警員的資料外洩。香港民研當時聲稱,當年調查完成後6個月,資料已被銷毁,指系統並無被入侵跡象。
睇嚟香港民研當時的否認,激到爆料的網民「Tony Mike 」嬲嬲地,佢今日(7月9日)再在telegram另一群組「香港航拍谷」上爆料,指香港民研未有銷毁過去的民調資料,又發圖片證明受訪者個人資料已外洩,亦指香港民研上次澄清時,鍾庭耀其實是講大話。
網民「Tony Mike 」在telegram上的爆料貼文。
小鯊好有興趣知道,如果鍾庭耀再否認,呢個網民「Tony Mike 」有無第三波爆料,因為細看佢今次第二波爆出的東西,原來有政治敏感內容。既然佢咁多料在手,可以多多爆料,滿足一下公眾的好奇心嘛。
鍾庭耀在2016年5月回覆戴耀庭的電郵。
「Tony Mike」今日在貼文中說:「上次爆料話鍾uncle 嗰間香港民硏,漏晒popo(指警察)啲民調受訪者資料出街。本來係想點醒佢哋,唔好漏我哋正義市民嘅料俾國安。」
「Tony Mike」還貼出一則鍾庭耀在2016年5月回覆戴耀庭的電郵,當時在7.1遊行前,而同年9月有立法會選舉。
鍾庭耀
鍾庭耀話他們在7.1會做onsite (現場)及online (網上)調查,問有關7.1及立法會選舉問題,「在現場及網上調查,我們會問受訪者是否同意參加你的雷動計劃,如果他們同意,我們便會把聯絡方法聯交給你。」
這裏帶出了幾個問題:
第一、 顯示鍾庭耀所進行的民調,受訪者的資料有機會被轉到給第三者,例如戴耀廷。
第二、 鍾庭耀所進行的民調,不單止作民意調查之用,還會和雷動計劃掛勾,為這個行動找參加者。到底一間大學的民調機構,可否如此緊密地參與政治活動。大學是受公帑資助的公共機構,如此參與政治活動,到底有無監管。
大學成員是公職人員,他這樣做有無得到大學授權? 若無直接授權,濫用公共資源作私人支持的政治活動,有無公職人員行為失當之嫌?
第三、 貼文者「Tony Mike」自稱是「IT和理非」,相信熟悉網上運作,他能夠隨意hack 入香港民研的資料庫,並成功找到民調被訪者的個人資料包括姓名、電話、及電郵地址,亦找到鍾庭耀要和戴耀廷之間的電郵記錄,以及警方和香港民研的電郵記錄,這些資料都沒有被處理好,可以任人睇,涉嫌違反私隱條例,非常駭人。
以香港民研這種防火牆水平,資料完全外洩,參加香港民研的選舉公投的市民,其私隱真係凍過水。
香港民研這週末搞的泛民初選公投,domain name還是「香港大學民意研究計劃」的網站。
另一個問題是傳媒報道香港民研這週末搞的泛民初選公投,用的還是以前港大民研的網站。究竟香港大學知不知道香港民研還在使用港大的網站來舉辦公投? 如果知道為何可以讓香港民研還使用香港大學名義的網站來做政治性投票?
順便講一下,什麼是雷動計劃(ThunderGo)?
發起人:2016年2月戴耀廷提出。
目標:為爭取反對派於2016年香港立法會選舉取得達半議席。
背景:憂慮反對派嚴重分裂,過多反對派名單的情況感到混淆,不能決定支持那一張名單。
計劃內容:共包括三部分
第一部份是「協調參選」。希望反對派的參選人能協調或以初選方式減少出選名單。
第二部份是「策略性投票」。希望選民在決定投票給哪位候選人時,除了考慮自己是否支持該候選人的政綱外,還會考慮他的勝算。若從民調看到他最想支持的候選人沒有勝算,就把票投給在民調中顯示是較具勝算的第二選擇。
第三部份是「雷霆救兵」。在每區招募一萬名「雷霆救兵」。依據從各方所收集到及經整合的選情資訊,在選舉日當天的最後數小時,作出最關鍵的投票,把票投給非建制派邊緣名單中最有勝算的候選人。
轉眼又4年,「雷動2.0」計劃正進行得如火如荼,第一部份協調參選的初選,即將在本週六舉行。政制及內地事務局長曾國衞今天表示,提醒組織及參與這個初選的,可能涉及違反「選舉舞弊及非法行為條例」及「港區國安法」。
