新聞稿

个人资料私隐专员公署（私隐专员公署）完成对公司注册处资料外洩事故的调查，并于今日发表调查结果。
 
调查源于公司注册处于2024年4月19日向私隐专员公署通报的资料外洩事故，表示其「电子服务网站」内的电子查册系统出现个人资料外洩风险（外洩事件）。
 

背景

公司注册处于2023年12月27日推出全面翻新的「公司注册处综合资讯系统」（相关系统）及其「电子服务网站」，为用户提供电子查册及文件提交等服务。其后，公司注册处于2024年4月18日进行例行工作时，发现「电子服务网站」内的电子查册系统除提供查册相关资料外，同时亦可以将额外的个人资料传输到查册者的电脑。然而，该些个人资料并非直接显示在查册结果页面上，查册者需要在查册结果页面上打开一般用户甚少使用的开发者工具[1]（web developer tool），并在开发者工具显示的众多程式码中，使用搜寻功能并输入部分个人资料（例如部分香港身份证号码）以寻找「额外」的个人资料。另外，查册者亦可透过编写程式[2]（robotic search）取得部分「额外」的个人资料。此外，以电子方式提交持牌放债人委任第三方的通知书时，亦出现同样情况。

 
调查结果
 
私隐专员公署就外洩事件向公司注册处进行了四次查讯，亦两度去信要求获处方委讬翻新相关系统的承办商（承办商）就外洩事件提供资料。私隐专员公署审视了公司注册处提供的超过1,500页的文件，当中包括与承办商签订的服务合约、相关系统的设计及测试报告等。私隐专员公署感谢公司注册处及承办商配合调查，并提供所要求的资料。
 
根据公司注册处及承办商所提供的资料，外洩事件源于在设计系统的相关功能时使用了常用模组（common module），未有移除部分数据字段（data field），导致「额外」的个人资料被传输到查册者的电脑。调查显示公司注册处自推出相关系统（即2023年12月27日）起便出现上述情况；然而，相关「额外」资料并非显示在查册结果页面上，亦无证据显示涉事的「额外」个人资料曾受到未获准许的或意外的查阅。
 
外洩事件中可能受影响的人士数目为109,002名，包括108,575名公司董事的香港身份证号码、护照号码及／或通常住址、217名被取消资格人士、放债人牌照申请人及持牌放债人委任的第三方的香港身份证号码及／或护照号码，以及210名持牌放债人联络人的姓名、电话号码及／或电邮地址。调查显示，近九成涉及的个人资料，包括公司董事资料，仍可从已登记文件中经查册服务查阅。
 
公司注册处在外洩事件发生后已通知所有可能受影响人士、即时修正相关系统设计、委讬独立的第三方全面检视相关系统，并采取改善措施以防止类似事件再次发生。
 
经考虑外洩事件的情况及调查所获得的资料，私隐专员公署就外洩事件的观察如下：─
 

 

 
《个人资料（私隐）条例》（《私隐条例》）的保障资料第4(1)原则订明，资料使用者须采取所有切实可行的步骤，以确保由资料使用者持有的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响。
 
私隐专员公署的调查发现并无证据显示有「额外」的个人资料曾遭受未获准许的或意外的查阅。根据调查获得的所有资料及相关事实，公署留意到公司注册处在翻新相关系统的过程中已采取一系列的保安措施，包括处方透过合约规范要求承办商在翻新相关系统所采取的措施、处方及承办商在推出相关系统前进行的测试及评估，以及额外的编码审查。
 
基于上述发现，私隐专员公署认为并无足够证据显示，公司注册处在翻新相关系统的过程中没有采取所有切实可行的步骤保障所持有的个人资料，以致违反保障资料第4(1)原则。虽然如此，考虑到相关系统的个人资料确实曾经存在个人资料外洩风险，公署已建议公司注册处对载有个人资料的系统进行定期及全面的检视，确保它们没有其他系统设计及安全漏洞。
 
基于个人资料私隐专员钟丽玲于2020年9月前曾出任公司注册处处长，为避嫌起见，是次调查由助理个人资料私隐专员（法律）（署理）赖皓茵及首席个人资料主任（合规及查询）郭正熙主导及跟进，钟丽玲未有参与是次调查工作。
 
对户户送展开循规审查
 
另外，外卖平台户户送早前宣布将会结束香港业务，事件可能影响户户送客户及送递员在个人资料私隐方面的权益。私隐专员公署已根据既定程序就事件展开循规审查，以取得更多与事件有关的资料，并协助相关商户，包括接手其业务的营运者，以符合《私隐条例》的规定处理、删除或转移客户及送递员的个人资料，确保客户及送递员的个人资料不会被滥用、外洩或者流入不法分子手中作诈骗用途。公署亦呼吁受影响客户及送递员若关注有关商户处理个人资料的安排，可向相关商户或公署作出查询（电话：2827 2827、电邮：communications@pcpd.org.hk）。

---