市建局泄199人資料 私隱公署調查揭未適時更新軟件 已發警告信

撰文:何瑞芬
出版:更新:

市建局去年5月公布,其發現雲端平台可讓使用者在無需以帳戶及密碼登入特定頁面的情況下,瀏覽專屬登記表格所儲存的資料,涉及199名已回覆出席衙前圍道 / 賈炳達道發展計劃簡介會的居民或商戶個人資料,包括電話號碼、姓名及地址等。
私隱專員公署今(9日)發表調查結果,指市建局未適時更新軟件,且對用以收集個人資料的軟件認知不足引起,違法《個人資料(私隱)條例》,已向市建局發警告信,要求該局採取措施加強保障所持有的個人資料,防止類似違規情況再次發生。

市建局去年5月公布,其發現雲端平台可讓使用者在無需以帳戶及密碼登入特定頁面的情況下,瀏覽專屬登記表格所儲存的資料,涉及199名已回覆出席衙前圍道 / 賈炳達道發展計劃簡介會的居民或商戶個人資料。(市建局網頁)

事發於去年5月,市建局使用雲端平台ArcGIS Online附設的電子表格平台製作了兩份電子表格於當月2日將有關電子表格上線,以供出席者填寫資料進行登記;市建局翌日即接獲警方通知指涉事表格的部份資料有潛在外洩風險,遂立即停用ArcGIS Online雲端平台並刪除儲存於當中的個人資料,並在其後了解到登記出席簡報會人士的個人資料可在毋須輸入帳戶及密碼的情況下被瀏覽。

私隱專員公署指,公署去年5月13日接獲市建局通報,確認受影響人士為199名已回覆出席簡介會的業主及租戶,所涉及的個人資料包括聯絡電話號碼、聯絡人姓名及業權或通訊地址等個人資料。

私隱專員鍾麗玲認為事件中市建局有兩大缺失。(資料圖片/盧翊銘攝)

公署指,市建局與提供該電子表格平台的承辦商進行聯合調查,得知該電子表格平台軟件有不同版本,新版本軟件於2022年7月起供下載,當中一項有關數據分享的預設值在新舊版本軟件中並不相同;在新版本軟件預設值下,用戶需作出額外多項設定才可讓平台使用者在不需要登入的情況下查閱已輸入的數據。

不過,市建局用於製作涉事表格的軟件屬其早前已下載並安裝的舊版本軟件,故上述新版本軟件用以加強保護用戶數據的相關預設值並沒有被套用於涉事表格;另一方面,市建局確認基於局方人員對平台版本未有足夠認知了解,故測試的過程中未仔細檢視數據分享設定,未有就相關功能進行安全測試。市建局同意若事發時局方所使用的軟件為當時最新之版本,便不會發生外泄事件。

私隱專員公署。(資料圖片)

私隱專員鍾麗玲認為事件中市建局有兩大缺失,包括未適時進行軟件更新,以及對用以收集個人資料的軟件認知不足,並裁定市建局無採取所有切實可行的步驟確保涉事個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,違反《私隱條例》,已向市建局發警告信。

市建局回應指接納調查結果,並同意若更新版本及對相關軟件有足夠認知應可避免事件,會嚴肅跟進並採取適當行動。該局稱已啟動一系列加強保障個人資料的措施,包括要求相關雲端平台供應商加強售後服務,適時通報產品功能更新並提供培訓和技術支援;檢視工作指引,並委聘審計公司進行全面資訊保安審計等。

該局指會總結今次經驗,致力建立一套更穩建的私隱保安框架和保障個人資料的機構文化,盡力減低類似事件發生的機會。