去年5月市建局向私隱專員公署通報資料外洩事故,擬參加衙前圍道/賈炳達道業權收購發展計劃簡報會的199名業主及租戶個資人料被外洩,當中包括聯絡電話號、聯絡人姓名及業權或通訊地址。
私隱公署已完成調查,並於今日(9日)發表調查結果,私隱專員鍾麗玲認為,市建局未有適時進行軟件更新,並對用以收集個人資料的軟件認知不足。公署裁定市建局違反了《私隱條例》的保障資料第4(1)原則有關個人資料保安的規定,已向市建局發警告信並要求採取措施加強保障所持有的個人資料,防止類似違規情況再次發生。私隱專員公署同時發布《雲端運算指引》。
市建局於2024年5月13日向私隱公署通報資料外洩事故,表示市建局存放於雲端平台的市民個人資料可在毋須輸入帳戶及密碼的情況下被瀏覽。市建局使用雲端平台ArcGISOnline附設的電子表格平台製作了兩份電子表格,並於5月2日將有關電子表格上線,以供出席簡報會的業主、租客和商戶填寫資料進行登記。
相關新聞:衙前圍道 / 賈炳達道項目200居民個人資料存外洩風險 市建局向私隱署報備
市建局指在制定電子表格過程中,已多次進行安全檢查。及至5月3日,市建局接獲警方通知,指涉事表格的部分資料有潛在外洩風險,遂停用ArcGISOnline雲端平台並刪除儲存於當中的個人資料。市建局其後了解到登記出席簡報會人士的個人資料可在毋須輸入帳戶及密碼的情況下被瀏覽,並於5月13日向私隱專員公署通報。
市建局下載舊版本軟件製涉事表格
就外洩事件,市建局與提供該電子表格平台的承辦商進行聯合調查,並從而得知該電子表格平台的軟件有不同版本,而新版本軟件於2022年7月起供下載,當中一項有關數據分享的預設值在新舊版本軟件中並不相同。在新版本軟件的預設值下,用戶需作出額外多項設定才可讓平台使用者在不需要登入的情況下查閱已輸入的數據。可是,市建局用於製作涉事表格的軟件屬其早前已下載並安裝的舊版本軟件,故上述新版本軟件用以加強保護用戶數據的相關預設值並沒有被套用於涉事表格。
另一方面,市建局確認基於局方人員對該電子表格平台的版本未有足夠的認知及了解,故此在對電子表格進行測試的過程中並未仔細檢視有關的數據分享設定,亦未有就相關功能進行安全測試,導致是次外洩事件發生。市建局同意,如事發時局方所使用該電子表格平台的軟件為當時最新之版本,便不會發生外洩事件。
公署就外洩事件向市建局進行了5次查訊,亦兩度去信要求承辦商就外洩事件提供相關資料。公署感謝市建局及承辦商配合調查,並提供所要求的資訊及文件。
