公司註冊處「電子服務網站」的電子查冊系統,去年4月通報發生個人資料外洩事故,個人資料私隱專員公署周三(12日)公佈調查結果,稱逾10.9萬人的個人資料外洩,包括香港身份證和護照號碼、住址、電話號碼和電郵地址等,但無證據顯示資料遭不當查閱。而公司註冊處再翻新相關系統時,認為處方已採取切實可行的保障步驟,認為無違反《私隱條例》。
【新聞有價 記者有格 立即訂閱:https://bit.ly/3wGQh7c】
公署提及,公司註冊處2023年12月底推出全面翻新的「公司註冊處綜合資訊系統」及其「電子服務網站」,為用戶提供電子查冊及文件提交等服務。惟去年4月一次例行檢查,發現「電子服務網站」內的電子查冊系統,除了提供查冊相關資料,亦可將額外的個人資料傳輸到查冊者的電腦,但並非直接顯示在查冊結果頁面上,而要使用一般用戶甚少使用的「開發者工具」或編寫程式搜尋才能獲取。以電子方式提交持牌放債人委任第三方通知書時也出現類似問題。
署方就事件向公司註冊處進行了4次查訊,亦兩度去信要求獲處方委託翻新相關系統的承辦商提供資料,審視了超過1,500頁文件後發現,外洩事件源於設計系統的相關功能時使用了常用模組,未有移除部份數據字段,導致「額外」的個人資料被傳輸到查冊者的電腦,且在處方2023年推出該系統起便出現有關情況。
事件導致約10.9萬人的資料受影響,絕大部份是公司董事的身份證及護照號碼或住址,有10.8萬名,其他包括被取消資格人士、放債人牌照申請人和持牌放債人聯絡人的姓名、電話號碼或電郵地址等。處方在外洩事件發生後已通知所有可能受影響人士、即時修正相關系統設計,並委託獨立的第三方全面檢視相關系統。
公署調查後稱,公司註冊處在翻新系統期間,已採取一系列保安措施,如透過合約規範要求承辦商在翻新系統過程中已採取的措施、推出相關系統前進行的測試及評估、額外的編碼審查等,故認為沒有足夠證據顯示公司註冊處違反相關保障資料原則。
惟考慮到相關系統的個人資料確實曾經存在外洩風險,即使受影響的個人資料遭受未獲准許的或意外的查閱的風險相對甚低,公署已建議公司註冊處對載有個人資料的系統進行定期及全面的檢視,確保沒有其他系統設計及安全漏洞。
