【獨媒報導】市建局去年外洩衙前圍道/賈炳達道業權收購發展計劃簡報會199名業主及租客的個人資料,包括聯絡電話號碼、聯絡人姓名及業權或通訊地址等。私隱專員公署今日發表調查結果,裁定市建局違反《私隱條例》已向對方發警告信;而外洩主因是市建局使用雲端平台軟件的舊版本,未有適時就軟件進行更新,人員亦對用以收集個人資料的軟件認知不足。
市建局在去年5月13日向私隱專員公署通報資料外洩事故,表示其存放於雲端平台的市民個人資料可在毋須輸入帳戶及密碼的情況下被瀏覽。市建局使用雲端平台ArcGIS Online附設的電子表格平台製作了兩份電子表格,在2024年5月2日將有關電子表格上線,供出席簡報會的業主、租客和商戶填寫資料進行登記。
接獲警方通知後始停用雲端平台 10日後再向公署通報
私隱公署曾就今次事件向市建局進行5次查訊,並兩度去信要求承辦商就外洩事件提供相關資料。市建局稱在制定電子表格的過程中,已經多次進行安全檢查。在去年5月3日,市建局接獲警方通知指涉事表格的部分資料有潛在外洩風險後,遂立即停用ArcGIS Online雲端平台並刪除儲存於當中的個人資料。市建局其後了解到登記出席簡報會人士的個人資料可在毋須輸入帳戶及密碼的情況下被瀏覽,在5月13日再向私隱公署通報。
對於資料外洩,市建局與提供該電子表格平台的承辦商進行聯合調查,得知該電子表格平台的軟件有不同版本,新版本軟件於2022年7月起供下載,當中一項有關數據分享的預設值在新舊版本軟件中並不相同。
市建局認人員對電子表格平台版本欠足夠認知
在新版本軟件的預設值下,用戶需作出額外多項設定才可讓平台使用者在不需要登入的情況下查閱已輸入的數據。然而,市建局用於製作涉事表格的軟件屬其早前已下載並安裝的舊版本軟件,所以新版本軟件用以加強保護用戶數據的相關預設值並沒有被套用於涉事表格。
另外,市建局確認基於人員對該電子表格平台的版本未有足夠的認知及了解,所以在對電子表格進行測試的過程中並未仔細檢視有關的數據分享設定,亦未有就相關功能進行安全測試,導致外洩事件發生。公署指市建局亦同意,如事發時局方所使用該電子表格平台的軟件為當時最新之版本,便不會發生外洩事件。
私隱專員:外洩事件主因涉市建局未有適時進行軟件更新
私隱專員鍾麗玲認為,市建局未有適時進行軟件更新是導致外洩事件發生的主因。鍾麗玲指出,市建局未有適時將軟件更新,以確保所使用的軟件屬最新版本,亦未有採取行動查核其正在使用的該電子表格平台軟件是否最新版本,兼未有更新軟件。
除此之外,鍾麗玲亦指市建局對用以收集個人資料的軟件認知不足,未能為軟件的使用制定及進行有效及全面的安全測試,以致在對涉事表格進行安全檢查時遺漏了一些關鍵功能,未能及時發現數據被公開分享。
私隱公署裁定,市建局在事件中沒有採取所有切實可行的步驟,以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,違反《私隱條例》的保障資料第4(1)原則有關個人資料保安的規定。公署已向市建局發出警告信,要求採取措施加強保障所持有的個人資料,防止類似違規情況再次發生。
市建局:嚴肅跟進並採取適當行動 將研發自主平台
市建局回應稱,會詳細審視報告內容,並嚴肅跟進並採取適當行動。市建局表示接納公署的調查結果,同意若然技術人員在設計涉事登記表格時,就該電子表格平台的軟件進行適時更新,並採用最新版本;又或對表格軟件及數據雲端平台就「數據分享」的參數設定有足夠認知,理應可避免事件發生。
市建局指出,已啟動一系列加強保障個人資料的措施,包括要求相關雲端平台供應商/承辦商加強售後服務,包括適時通報產品功能的更新並提供培訓和技術支援;加強各部門和所有技術人員在處理數據安全及個人資料時的培訓和安全意識;及研發自主平台,以減少依賴第三方平台及外在環境因素的影響及潛在的保安風險。