個人資料私隱專員公署完成對公司註冊處資料外洩事故的調查,並發(fā)表調查結果�。外洩事件可能有約10.9萬人受影響,近九成涉及的個人資料��,包括公司董事資料���,仍可從已登記文件中經(jīng)查冊服務查閱�����。公司註冊處事後已通知所有可能受影響人士���、即時修正相關系統(tǒng)設計、委託獨立的第三方全面檢視系統(tǒng)����,採取改善措施防止類似事件再次發(fā)生。
私隱公署指出���,事件源於公司註冊處去年4月通報的資料外洩事故�,表示「電子服務網(wǎng)站」內的電子查冊系統(tǒng)出現(xiàn)個人資料外洩風險����。公署調查後認為,公司註冊處在翻新系統(tǒng)的過程已採取一系列保安措施�����,包括處方透過合約規(guī)範要求承辦商在翻新相關系統(tǒng)所採取的措施�����、處方及承辦商在推出相關系統(tǒng)前進行的測試及評估�,以及額外的編碼審查,因此認為沒有足夠證據(jù)顯示公司註冊處違反保障資料第4(1)原則���。
私隱公署表示����,考慮到相關系統(tǒng)的個人資料確實曾經(jīng)存在外洩風險�����,公署已建議公司註冊處對載有個人資料的系統(tǒng)進行定期及全面的檢視,確保沒有其他系統(tǒng)設計及安全漏洞���。
署方補充說�,根據(jù)公司註冊處及承辦商提供的資料�,外洩事件源於在設計系統(tǒng)的相關功能時使用了常用模組,未有移除部分數(shù)據(jù)字段�,導致「額外」的個人資料被傳輸?shù)讲閮哉叩碾娔X。調查顯示����,公司註冊處自2023年12月推出相關系統(tǒng)起,便出現(xiàn)上述情況�����,但相關「額外」資料並非顯示在查冊結果頁面上��,亦無證據(jù)顯示涉事的「額外」個人資料曾受到未獲準許的或意外的查閲�。
