公布機電工程署個人資料外洩事故調查結果,懷疑外洩的個人資料涉及前年疫情期間「強檢行動」中受檢測人士的個人資料,包括姓名、地址、身份證號碼及電話號碼等,涉及超過17000人。公署裁定機電署沒有採取所有切實可行步驟,以確保保存時間不超過使用實際所需時間,亦沒有採取所有切實可行的步驟,以確保涉事的個人資料受保障而不受未獲准許或意外的查閱等,違反《私隱條例》規定。
機電署
報告提到,機電署於2022年3至7月執行14次強檢行動,之後將資料上載到雲端平台。今年4月,發現相關資料可以在毋須輸入帳戶及密碼的情況下,在雲端平台被瀏覽,署方同日要求承辦商從平台中移除有關資料並向公署通報。報告指出,機電署認為在合約屆滿後,該電子平台的帳戶會失效,有關資料亦會自動刪除。
香港個人資料私隱專員公署FB圖片
私隱專員鍾麗玲認為,事件主因包括機電署的沒有就相關個人資料保存期限制訂書面政策,為資料的存廢提供明確依據,亦未有清楚向承辦商提出刪除相關資料的要求。她說,做法明顯未能符合《私隱條例》要求,有負公眾的合理期望,令人遺憾。
私隱專員已向機電署送達執行通知,指示採取措施糾正違規事項,防止類似違規情況再發生。
香港個人資料私隱專員公署就市區重建局(市建局)於2024年5月13日向其通報的供應商雲端平台系統安全事件完成調查,並發表調查報告。市建局9日回應稱會詳細審視報告內容,嚴肅跟進並採取適當行動。
市建局
市建局接納公署的調查結果,稱同意若然市建局技術人員在設計涉事登記表格時,就該電子表格平台的軟件進行適時更新,並採用最新版本;又或對表格軟件及數據雲端平台就「數據分享」的參數設定有足夠認知,理應可避免事件發生。
所以在知悉事件後,市建局以積極及負責任的態度處理,包括即時停用相關供應商雲端平台並刪除有關資料、主動向公署通報事件、發布新聞公報通知公眾、透過電話和發信逐一通知受影響業主及租戶,並向他們致歉,以及與雲端服務平台在港的供應商及其海外總公司,了解事件起因,並迅速的跟進行動,確保了事件中沒有個人資料外洩。
除全面配合公署的調查工作並提供跟進測試操作環境的相關資料,以協助推斷成因外,市建局亦主動要求雲端平台供應商/承辦商展開聯合調查,並得悉表格軟件的「數據分享」參數預設值,在該軟件的更新版本已被更改為「預設關閉」。
香港個人資料私隱專員公署FB圖片
同時,市建局啟動一系列加強保障個人資料的措施,包括:要求相關雲端平台供應商/承辦商加強售後服務,包括適時通報產品功能的更新並提供培訓和技術支援;檢視工作指引,重新評估及優化處理個人資料的工作流程;委聘審計公司進行全面資訊保安審計;聘請顧問公司制訂包括管理資料處理者等的政策;加強各部門和所有技術人員在處理數據安全及個人資料時的培訓和安全意識;及研發自主平台,以減少依賴第三方平台及外在環境因素的影響及潛在的保安風險。
市建局表示將總結是次經驗,致力建立一套更穩健的私隱保安框架和保障個人資料的機構文化,盡力減低類似事件發生的機會。
