個(gè)人資料私隱專員公署完成對公司註冊處資料外洩事故的調(diào)查���,並發(fā)表調(diào)查結(jié)果。外洩事件可能有約10.9萬人受影響�,近九成涉及的個(gè)人資料,包括公司董事資料�,仍可從已登記文件中經(jīng)查冊服務(wù)查閱。公司註冊處事後已通知所有可能受影響人士、即時(shí)修正相關(guān)系統(tǒng)設(shè)計(jì)��、委託獨(dú)立的第三方全面檢視系統(tǒng)�����,採取改善措施防止類似事件再次發(fā)生�����。
私隱公署指出��,事件源於公司註冊處去年4月通報(bào)的資料外洩事故�����,表示「電子服務(wù)網(wǎng)站」內(nèi)的電子查冊系統(tǒng)出現(xiàn)個(gè)人資料外洩風(fēng)險(xiǎn)�。公署調(diào)查後認(rèn)為,公司註冊處在翻新系統(tǒng)的過程已採取一系列保安措施���,包括處方透過合約規(guī)範(fàn)要求承辦商在翻新相關(guān)系統(tǒng)所採取的措施、處方及承辦商在推出相關(guān)系統(tǒng)前進(jìn)行的測試及評估��,以及額外的編碼審查�,因此認(rèn)為沒有足夠證據(jù)顯示公司註冊處違反保障資料第4(1)原則���。
私隱公署表示,考慮到相關(guān)系統(tǒng)的個(gè)人資料確實(shí)曾經(jīng)存在外洩風(fēng)險(xiǎn)���,公署已建議公司註冊處對載有個(gè)人資料的系統(tǒng)進(jìn)行定期及全面的檢視,確保沒有其他系統(tǒng)設(shè)計(jì)及安全漏洞���。
署方補(bǔ)充說��,根據(jù)公司註冊處及承辦商提供的資料,外洩事件源於在設(shè)計(jì)系統(tǒng)的相關(guān)功能時(shí)使用了常用模組�,未有移除部分?jǐn)?shù)據(jù)字段�����,導(dǎo)致「額外」的個(gè)人資料被傳輸?shù)讲閮哉叩碾娔X。調(diào)查顯示�,公司註冊處自2023年12月推出相關(guān)系統(tǒng)起����,便出現(xiàn)上述情況����,但相關(guān)「額外」資料並非顯示在查冊結(jié)果頁面上��,亦無證據(jù)顯示涉事的「額外」個(gè)人資料曾受到未獲準(zhǔn)許的或意外的查閲����。
