社會事
私隱專員公署完成對去年5月市建局資料外洩事故的調查,事件中有199名業主及租戶受影響。公署表示,市建局因未有適時更新軟件,以及對用以收集個人資料的軟件認知不足,未能為軟件的使用制定及進行有效和全面的安全測試,是導致外洩事件發生的主因。
香港個人資料私隱專員公署FB圖片
私隱專員鍾麗玲裁定市建局沒有採取所有切實可行的步驟,以確保涉事的個人資料受保障,而不受未獲准許或意外的查閱、處理、刪除、喪失或使用所影響,因而違反《私隱條例》的規定。私隱專員已向市建局發出警告信,要求採取措施加強保障所持有的個人資料,防止類似違規情況再次發生。
市建局
公署又更新《雲端運算指引》,鍾麗玲鼓勵機構採取《指引》中的建議措施,例如加密儲存於雲端的個人資料、確保只有獲授權人士能存取雲端的個人資料、了解雲端供應商提供的最新功能或配置,以及確保與雲端服務供應商簽訂的合約中,有條文規定雲端服務供應商在合約完結時,刪除或交還持有的個人資料等。
香港個人資料私隱專員公署就市區重建局(市建局)於2024年5月13日向其通報的供應商雲端平台系統安全事件完成調查,並發表調查報告。市建局9日回應稱會詳細審視報告內容,嚴肅跟進並採取適當行動。
市建局
市建局接納公署的調查結果,稱同意若然市建局技術人員在設計涉事登記表格時,就該電子表格平台的軟件進行適時更新,並採用最新版本;又或對表格軟件及數據雲端平台就「數據分享」的參數設定有足夠認知,理應可避免事件發生。
所以在知悉事件後,市建局以積極及負責任的態度處理,包括即時停用相關供應商雲端平台並刪除有關資料、主動向公署通報事件、發布新聞公報通知公眾、透過電話和發信逐一通知受影響業主及租戶,並向他們致歉,以及與雲端服務平台在港的供應商及其海外總公司,了解事件起因,並迅速的跟進行動,確保了事件中沒有個人資料外洩。
除全面配合公署的調查工作並提供跟進測試操作環境的相關資料,以協助推斷成因外,市建局亦主動要求雲端平台供應商/承辦商展開聯合調查,並得悉表格軟件的「數據分享」參數預設值,在該軟件的更新版本已被更改為「預設關閉」。
香港個人資料私隱專員公署FB圖片
同時,市建局啟動一系列加強保障個人資料的措施,包括:要求相關雲端平台供應商/承辦商加強售後服務,包括適時通報產品功能的更新並提供培訓和技術支援;檢視工作指引,重新評估及優化處理個人資料的工作流程;委聘審計公司進行全面資訊保安審計;聘請顧問公司制訂包括管理資料處理者等的政策;加強各部門和所有技術人員在處理數據安全及個人資料時的培訓和安全意識;及研發自主平台,以減少依賴第三方平台及外在環境因素的影響及潛在的保安風險。
市建局表示將總結是次經驗,致力建立一套更穩健的私隱保安框架和保障個人資料的機構文化,盡力減低類似事件發生的機會。
