資料外洩｜市建局外洩199人資料遭警告　私隱公署揭未更新軟件肇事

市建局於去年5月向私隱專員公署通報資料外洩事故，199名擬出席衙前圍道／賈炳達道業權收購發展計劃簡報會的業主、租客和商戶的個人資料遭外洩，當中包括聯絡電話號碼、聯絡人姓名及業權或通訊地址。

【資料外洩】市建局所用雲端平台有資料外洩風險　涉衙前圍道 / 賈炳達道發展計劃200名受影響人士個人資料

私隱公署就外洩事件向市建局進行5次查訊，亦兩度去信要求承辦商就外洩事件提供相關資料。今日（9日）私隱公署就事件發表調查結果，私隱專員鍾麗玲認為，導致外洩事件發生的主因是由於市建局未有適時進行軟件更新，並對用以收集個人資料的軟件認知不足。

公署調查發現，市建局使用雲端平台ArcGIS Online附設的電子表格平台製作電子表格，直至去年5月3日接獲警方通知指資料有潛在外泄風險後停用並刪除資料，及後發現已登記人士的個人資料可在毋須輸入帳戶及密碼的情况下被瀏覽。

軟件未有更新　電子表格屬舊版本

市建局及電子表格平台承辦商聯合調查，發現該電子表格平台的軟件有不同版本，而新版本軟件於2022年7月起供下載，當中一項有關數據分享的預設值在新舊版本軟件中並不相同。市建局使用的軟件屬其早前已下載並安裝的舊版本軟件，未能應用新版本預設要登入才可查閱數據的功能。

對軟件版本認知不足　未有仔細檢視數據分享設定

另一方面，市建局確認基於局方人員對該電子表格平台的版本未有足夠的認知及了解，故在對電子表格進行測試的過程中並未仔細檢視有關的數據分享設定，亦未有就相關功能進行安全測試。市建局同意，如事發時局方所使用的電子表格平台軟件為最新版本，便不會發生外洩事件。

公署裁定市建局沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響，違反《個人資料（私隱）條例》的保障資料第4(1)原則有關個人資料保安的規定，已向市建局發出警告信，要求市建局採取措施加強保障所持有的個人資料，防止類似違規情況再次發生。

市建局回應指，已要求雲端平台供應商或承辦商加強售後服務，並會檢視工作指引，重新評估及改善工作流程。局方會委聘審計公司進行全面資訊保安審計，亦會聘請顧問公司制訂包括管理資料處理者等的政策。此外，市建局亦會加強技術人員處理數據安全及個人資料的培訓。

市建局亦會研發自主平台，以減少依賴第三方平台及外在環境因素的影響及潛在 的保安風險。

此外，私隱專員公署同時公布已更新《雲端運算指引》，因應雲端運算服務的最新技術和趨勢，從服務及部署模式、標準服務及合約，以及外判安排等多方面，向機構提供建議措施，包括留意雲端服務更新、保留雲端服務供應商提供的審計追蹤記錄、啟用多重身份認證功能等。

🎓全新TOPSchool全港中小學校搜尋器，入HKET App即睇！

下載HKET App，追蹤TOPick WhatsApp頻道，睇全方位資訊：

【全港中小學選校資訊】 【名校專區升學攻略】

【兒童健康百科】 【職場文化智慧】 【家事百科全書】