私隱專員公署今日(12日)公布針對公司註冊處資料外洩事故的調查結果,並同時宣布就外賣平台戶戶送結束香港業務展開循規審查。
公司註冊處資料外洩事件調查
調查始於2024年4月19日,公司註冊處向私隱專員公署通報的資料外洩事件。該事件涉及其「電子服務網站」內的電子查冊系統,存在個人資料外洩風險。公司註冊處於2023年12月27日推出全新「公司註冊處綜合資訊系統」及「電子服務網站」,提供電子查冊及文件提交服務。然而,2024年4月18日例行檢查發現,該系統在提供查冊資料時,會將額外個人資料傳輸至查冊者電腦。這些資料並非直接顯示於查冊頁面,需透過一般用戶甚少使用的開發者工具或編寫程式搜尋才能獲取。此外,以電子方式提交持牌放債人委任第三方通知書時也出現類似問題。
私隱專員公署對此進行四次查訊,兩度要求處方委託翻新相關系統的提供資料,共審視逾1,500頁文件,包括服務合約、系統設計及測試報告等。調查發現,外洩源於系統設計時用了常用模組(common module),未有移除部分數據字段(data field),導致額外資料被傳輸到查冊者的電腦。自系統推出起即存在此問題,但無證據顯示相關資料曾被未經授權查閱。
外洩事件中可能受影響的人士數目為109,002名,包括108,575名公司董事、217名被取消資格人士、放債人牌照申請人及持牌放債人、以及 210 名持牌放債人聯絡人,外涉的資料包括姓名、電話號碼及/或電郵地址等。近9成涉及的個人資料,包括公司董事資料,仍可從已登記文件中經查冊服務查閱。公司註冊處已通知受影響人士、修正系統並委託第三方檢視,採取改善措施。
私隱專員公署認為,公司註冊處在系統翻新中採取多項保安措施,如透過合約規範承辦商在設計相關系統時採取保障私隱方式及遵從政府的相關準則及指引、公司註冊處及承辦商亦進行多項測試及評估等,且亦並無證據顯示任何「額外」的個人資料已遭不當查閱。根據《私隱條例》保障資料第4(1)原則,公署並無足夠證據顯示,公司註冊處在翻新相關系統 的過程中沒有採取所有切實可行的步驟保障所持有的個人資料,但已建議處方定期檢視系統設計及安全。
調查由助理個人資料私隱專員(法律)(署理)賴皓茵及首席個人資料主任(合規及查詢)郭正熙主導,因專員鍾麗玲曾任公司註冊處處長而避嫌未參與。
戶戶送結束業務循規審查
另外,戶戶送宣布結束香港業務,可能影響客戶及送遞員私隱權益。私隱專員公署已展開循規審查,確保相關商戶依《私隱條例》處理客戶及送遞員資料,防止濫用或外洩,並呼籲受影響人士向商戶或公署查詢。
