公司註冊處外洩11萬人個人資料　私隱署認為沒違例：無遭不當查閱

公司註冊處去年4月通報資料外泄事故，在其電子查冊系統上，查冊者透過「開發者工具」（web developer tool）及編寫程式，可以找到額外的個人資料。編寫程式取得額外資料，近11萬人可能受影響。

私隱專員公署今日（12日）發表調查結果，指「額外」個人資料並非直接顯示在查冊結果頁面上，並無證據顯示個資遭不當查閱。署方又指公司註冊處翻新系統時採取一系列保安措施，認為沒有足夠證據顯示違反《私隱條例》。

私隱專員公署今日（12日）發表公司註冊處一項資料外泄事故的調查結果。（資料圖片/夏家朗攝）

公司註冊處去年4月18日，發現經翻新的「電子服務網站」電子查冊系統，查冊者可透過瀏覽器的「開發者工具」，搜尋輸入部份個人資料如身份證號碼，可以尋找到額外的個人資料，查冊者亦可以透過編寫程式獲得資料。

私隱專員公署向公司註冊處查訊四次，兩度去信要求負責翻新的承辦商提供資料，又審視處方超過1,500頁文件。

調查發現，設計系統時採用常用模組（common module），未有移除部分數據字段（data field），導致額外個人資料被傳輸到查冊者的電腦，情況由2023年12月27日推出翻新系統起出現。

公司註冊處與警方緊密合作，積極打擊洗錢及恐怖分子集資。

事件中有10.9萬人可能受影響，絕大部分為公司董事，餘下217人為被取消資格人士、放債人牌照申請人等。外泄的資料包括香港身份證號碼、護照號碼、通常住址等。調查顯示近九成可能外泄的資料，仍可從已登記文件中經查冊服務查閱。署方表示，沒有證據顯示涉事的個人資料曾被意外或未獲准許查閲。

公署認為，公司註冊處翻新系統時採取一系列保安措施，並無足夠證據顯示處方沒採取所有切實可行的步驟，保障所持有的個人資料，因此認為沒有違法《私隱條例》。公署建議公司註冊處定期及全面檢視系統，確保沒有其他系統設計及安全漏洞。