去年5月,香港市建局針對其所負責的衙前圍道及賈炳達道發展計劃,向私隱專員公署通報了一宗關於個人資料外洩的事件。此事件涉及199名參加簡報會的業主及租戶,外洩的個人資料包括聯絡電話、姓名以及地址等,這一事件對該些受影響的居民構成了相當大的影響,也引起了公眾對於個人資料保護的擔憂。
私隱專員鍾麗玲在今天(9日)的發布會上公布了調查結果,指出市建局在此事件中存在重大失誤。經調查發現,市建局在進行軟件更新的過程中未能及時提升技術水平,並且對用來收集及存儲個人資料的雲端運算平台的功能了解不足,這也使得資料保護措施未能及時跟上技術的發展。因此,私隱專員公署裁定市建局違反了《私隱條例》中有關個人資料安全的規定。
根據調查結果,市建局在使用雲端平台ArcGIS Online的過程中,未能妥善檢測和確保資料的安全性。該平台的電子表格所在的舊版本存在著潛在的安全漏洞,這個問題允許未經授權的第三方在不需要輸入帳戶或密碼的情況下,輕易瀏覽到敏感的個人資料。私隱專員公署已經向市建局發出警告信以及指導建議,要求其加強資料保護措施,以避免未來再度發生類似的事件。
事件的發端可追溯至市建局於2022年5月啟動的發展計劃。市建局在制定電子表格的過程中,雖然進行了多次安全檢查,卻未能預見到使用舊版本軟件的潛在風險。當市建局於5月13日收到警方的通報後,立刻停止了該電子表格的使用並刪除已儲存的個人資料。然而,此時已經有資訊洩露的情況發生,必須承認的是,如果市建局在事發時使用的是最新版本的軟件,那麼這一外洩事件本可以得到有效阻止。
私隱專員公署的調查進程顯示,市建局對於電子表格平台的不同版本及其安全設定的了解皆不夠全面,這導致在整個开发及測試流程中,未能進行必要的安全檢測,從根本上剝奪了受保護個人資料的基本安全保障。
除了對外洩事件進行調查外,私隱專員公署還就事件的處理與市建局進行了多次交流,並且發信要求相關的承辦商提供資料,以協助進一步了解此一事件的根本原因。私隱專員對市建局及承辦商在調查過程中的配合表示感謝,但同時強調,在數據保護愈發重要的現今社會,相關機構必須建立更為嚴密的防護機制,以確保個人資料的安全,這也是其對市民負有的基本責任。
