個(gè)人資料私隱專(zhuān)員公署完成對(duì)公司註冊(cè)處資料外洩事故的調(diào)查���,並發(fā)表調(diào)查結(jié)果。外洩事件可能有約10.9萬(wàn)人受影響,近九成涉及的個(gè)人資料�����,包括公司董事資料���,仍可從已登記文件中經(jīng)查冊(cè)服務(wù)查閱���。公司註冊(cè)處事後已通知所有可能受影響人士、即時(shí)修正相關(guān)系統(tǒng)設(shè)計(jì)�、委託獨(dú)立的第三方全面檢視系統(tǒng),採(cǎi)取改善措施防止類(lèi)似事件再次發(fā)生��。
私隱公署指出��,事件源於公司註冊(cè)處去年4月通報(bào)的資料外洩事故�����,表示「電子服務(wù)網(wǎng)站」內(nèi)的電子查冊(cè)系統(tǒng)出現(xiàn)個(gè)人資料外洩風(fēng)險(xiǎn)���。公署調(diào)查後認(rèn)為����,公司註冊(cè)處在翻新系統(tǒng)的過(guò)程已採(cǎi)取一系列保安措施���,包括處方透過(guò)合約規(guī)範(fàn)要求承辦商在翻新相關(guān)系統(tǒng)所採(cǎi)取的措施����、處方及承辦商在推出相關(guān)系統(tǒng)前進(jìn)行的測(cè)試及評(píng)估��,以及額外的編碼審查,因此認(rèn)為沒(méi)有足夠證據(jù)顯示公司註冊(cè)處違反保障資料第4(1)原則���。
私隱公署表示����,考慮到相關(guān)系統(tǒng)的個(gè)人資料確實(shí)曾經(jīng)存在外洩風(fēng)險(xiǎn)����,公署已建議公司註冊(cè)處對(duì)載有個(gè)人資料的系統(tǒng)進(jìn)行定期及全面的檢視�,確保沒(méi)有其他系統(tǒng)設(shè)計(jì)及安全漏洞。
署方補(bǔ)充說(shuō)��,根據(jù)公司註冊(cè)處及承辦商提供的資料����,外洩事件源於在設(shè)計(jì)系統(tǒng)的相關(guān)功能時(shí)使用了常用模組,未有移除部分?jǐn)?shù)據(jù)字段�����,導(dǎo)致「額外」的個(gè)人資料被傳輸?shù)讲閮?cè)者的電腦����。調(diào)查顯示����,公司註冊(cè)處自2023年12月推出相關(guān)系統(tǒng)起��,便出現(xiàn)上述情況����,但相關(guān)「額外」資料並非顯示在查冊(cè)結(jié)果頁(yè)面上,亦無(wú)證據(jù)顯示涉事的「額外」個(gè)人資料曾受到未獲準(zhǔn)許的或意外的查閲��。
