香港民意研究所(香港民研)被人爆料狙擊,其回應可謂漏洞百出。
早前有網民「Tony Mike」在telegram 爆料,香港民研保留了2013年港大民研(香港民研的前身)協助警察做民調的資料,懷疑因此令警員的資料外洩。之後,香港民研回應指,telegram所引述的資料,並非來自他們的系統,又稱系統並無被入侵,而2013年所做的調查,在調查完成後6 個月內,警員資料已經被銷毀云云。
Tony Mike自稱「IT和理非」,話爆咗入香港民研個「侏羅紀系統」,見香港民研堅稱系統無被入侵,睇嚟相當慶,所以昨日又第二波爆料,直指香港民研講大話,指香港民研未有銷毁過去的民調資料,又發出多個不同民研的受訪者個人資料圖片,證明香港民的資料已外洩。
昨日香港民研搞咗半日再回應,主要有4點:
1. 重申團隊一直遵守非常嚴格的資料保密守則,例如在進行數據處理程序之前,每個成功案例的電話和其他個人身份標識會從原始數據中分離出來, 而所有含個人識別資料的數據, 系統會在調查完成後6個月內銷毀。
2. 根據技術顧問的檢查結果,雖然過去幾日確實有人攻擊香港民研的防火牆及嘗試入侵系統,但沒有跡象顯示這些入侵行為成功,而任何所謂從電腦中取得的資料,都並不存在於我們的研究數據系統中。
3. 根據現時被公開的資料,不排除有黑客非法入侵了我們職員、前職員、或合作夥伴的私人電郵系統,因而取得了一些零碎的資料。而我們亦發現被盗取的電郵內容,有被剪裁過或扭曲了原文的意思。HKPORI 是 HKUPOP 的直接延續,所以我們確有保留所有電郵,但現未能確定電郵系統是否及何時被入侵。
4. 就報道中提及跟警方合作的項目,在提交研究報告後,已立即將所有資料(通常以CD形式)交還給警方,並把資料與所載 CD同時銷毀。
以上香港民研的回應,好明顯係用一種「死口唔認」的方法,堅持不承認系統被人「黑」入盜取了資料,但回應漏洞很多,至少出現3個死位:
第一,長時期多個調查資料為何外洩。爆料者爆出港大民研由2010至2016年所作至少4項調查的資料,如果真的是在調查完成6個月內已銷毀資料,為何橫跨這麼長時期、不同調查的資料仍會漏出去呢?
第二,指控職員似想轉移目標。香港民研指,不排除有黑客入侵了職員、前職員、或合作夥伴的私人電郵系統,因而取得了一些零碎的資料。不是說都已經銷毁了嗎?爆料人披露的調查受訪者資料見到詳細的個人資料(包括姓名、電話、電郵等),並不「零碎」,若已銷毁根本不應該儲存於職的「電郵系統」內。
第三、即使職員洩漏也是大問題。若香港民研聲稱已燒毁了資料,事實上卻會讓職員等私自下載保留,並洩漏出去,本身也是犯法。根據《私隱條例》保障資料第4原則[3],資料使用者必須採取所有合理地切實可行的步驟,確保所收集的個人資料的安全而不受未獲授權的或意外的查閱、處理、刪除或其他使用所影響。
如果香港民研的職員,可以隨意將被訪者的個人資料下載及帶走,香港民研的保安程序確實非常有問題。
總的來說,香港民研的解釋漏洞百出,他們想吹出一個印象: 他們的電腦系統很安全,即使有外人想入侵亦不成功,資料並未由他們的系統外洩。但香港民研無法解釋,為什麼仍然有這麼多不同的民調資料可以洩露出去,只把責任推卸給所謂「職員、前職員或合作夥伴」,這個解釋好難收貨喎。
小鯊
** 博客文章文責自負,不代表本公司立場 **