【大纪元2025年01月10日讯】(大纪元讯)市建局去年5月被爆出资料外泄事故,局方存放于云端平台的市民个人资料可在毋须输入账户及密码的情况下被浏览,涉及199人。私隐专员公署(9日)公布调查结果,裁定市建局没有采取所有可行步骤确保涉事的个人资料受保障,向市建局发出警告信。
有关事故涉及衙前围道/贾炳达道业权收购发展计划的简报会,市建局使用云端平台ArcGIS Online附设的电子表格平台制作两份电子表格,于去年5月2日供出席简报会的业主、租客和商户进行登记。该局在去年5月3日接获警方通知涉事表格有潜在外泄风险后,立即停用相关云端平台并删除储存的个人资料,其后发现登记简报会人士的个人资料可在毋须输入账户及密码的情况下被浏览。
受影响的人士为199名已回复出席简介会的业主及租户,所涉及的个人资料包括联络电话号码、联络人姓名及业权或通讯地址等个人资料。市建局在去年5月13日向私隐专员公署通报。
市建局与提供电子表格平台的承办商调查发现,该电子表格平台的软件有不同版本,新版本软件于2022年7月起供下载,在预设值下,用户需作出额外多项设定才可让平台使用者在不需要登入的情况下查阅已输入的数据。市建局使用的是旧版本软件,故新版本用于加强保护用户数据的相关预设值没有被套用。市建局亦确认局方人员对该电子表格平台的版本未有足够认知及了解,测试时并未仔细检视有关的数据分享设定,亦未有就相关功能进行安全测试。市建局同意,如事发时局方所使用该电子表格平台的软件为当时最新的版本,便不会发生外泄事件。
个人资料私隐专员钟丽玲认为,市建局未有适时进行软件更新及对用以收集个人资料的软件认知不足是资料外泄事件发生的主因,裁定市建局没有采取所有切实可行的步骤保障涉事的个人资料,违反《个人资料(私隐)条例》的相关规定。私隐专员已向市建局发警告信,要求采取措施加强保障所持有的个人资料,防止类似情况再发生。
私隐专员公署亦发布《云端运算指引》,向机构提供建议措施以更好地保障个人资料私隐,包括加密储存于云端的个人资料、确保只有获授权人士能存取云端的个人资料、了解云端供应商提供的最新功能或配置,以及确保与云端服务供应商签订的合约中,有条文规定云端服务供应商在合约完结时删除或交还其持有的个人资料等。@
责任编辑:陈真
