:water(10)/public/article/images/202503/512a1578-887a-4eea-a925-36727f5b5473.jpg)
公司註冊處2024年4月通報資料外泄事故,在其電子查冊系統上,查冊者透過「開發者工具」(web developer tool)及編寫程式,可以找到額外的個人資料。編寫程式取得額外資料,近11萬人可能受影響。今日(3月12日)私隱署發表報告,指無足夠證據顯示公司註冊處違例,又促全面檢視系統。
/public/article/content/202503/2162942c-df39-44e6-9802-2a6081936342.jpg)
私隱署
公司註冊處電子查冊系統有風險
私隱署發言人指,事件源於公司註冊處2024年4月通報的資料外洩事故,表示「電子服務網站」內的電子查冊系統,出現個人資料外洩風險。在公署調查後認為,公司註冊處在翻新系統的過程已採取一系列保安措施,包括處方透過合約規範要求承辦商在翻新相關系統所採取的措施、處方及承辦商在推出相關系統前進行的測試及評估,以及額外的編碼審查,因此認為沒有足夠證據顯示公司註冊處違反保障資料原則。
私隱署表示,考慮到相關系統的個人資料確實曾經存在外洩風險,公署已建議公司註冊處對載有個人資料的系統進行定期及全面的檢視,確保沒有其他系統設計及安全漏洞。
/public/article/content/202503/3504ad07-a01e-4bec-9150-15a1b6bffd65.jpg)
公司註冊處
私隱署源於常用模組未移除部分數據
私隱署補充說,根據公司註冊處及承辦商提供的資料,外洩事件源於在設計系統的相關功能時使用了常用模組,未有移除部分數據字段,導致「額外」的個人資料被傳輸到查冊者的電腦。
調查顯示,公司註冊處自2023年12月推出相關系統起,便出現上述情況,但相關「額外」資料並非顯示在查冊結果頁面上,亦無證據顯示涉事的「額外」個人資料曾受到未獲准許的或意外的查閲。
外洩事件可能有約10萬9千人受影響,近九成涉及的個人資料,包括公司董事資料,仍可從已登記文件中經查冊服務查閱。公司註冊處事後已通知所有可能受影響人士、即時修正相關系統設計、委託獨立的第三方全面檢視系統,採取改善措施防止類似事件再次發生。
同場加映:《個人資料(私隱)條例》
保障資料原則是爲了確保個人資料的收集方式是具透明度及公平,亦須盡量減低個人資料的收集;一經收集,應以安全的方式處理個人資料,而資料的保留時間不應超過達致原來目的所需,個人資料的使用亦應限於或關乎原來收集目的;資料當事人有權查閲或改正自己的個人資料。
原則1 收集目的及方式
保障資料第1原則訂明,資料使用者須為直接與其職能或活動有關的合法目的,收集個人資料;收集的資料對該目的是必須及足夠的,但不超乎適度;而收集的方法應該是合法和公平的。
如果你直接向資料當事人收集個人資料,你應告知資料當事人是否必須提供資料、收集資料的目的、資料可能會被轉移給哪類人士,以及資料當事人可要求查閲和改正自己的資料的權利及途徑。
原則2 準確性及保留期間
保障資料第2原則要求資料使用者採取所有切實可行的步驟,以確保持有的個人資料準確無誤,而保留時間不超過達致原來目的實際所需。如果你聘用資料處理者處理個人資料,須採取合約規範或其他方法,確保資料處理者依從這些有關資料保留的要求。
條例的第26條要求資料使用者採取所有切實可行的步驟刪除已不再為使用目的而需要的個人資料,除非刪除是受任何法律禁止或不合乎公眾利益。第26條可在資料使用者不處理資料當事人就刪除其個人資料的投訴或要求的情況下被引用,相比違反保障資料第2原則(保留資料時間超過達致原來目的實際所需),違反第26條會構成罪行,最高可被判罰款港幣1萬元。
原則3 資料的使用
保障資料第3原則訂明,除非得到資料當事人自願給予的明示同意,否則個人資料不得用於「新目的」,即原先收集資料時擬使用或相關的目的以外的目的。資料當事人有權以書面通知,撤回先前曾給予的同意。
就個人資料的使用限制,條例第6A部進一步規定資料使用者,在使用資料當事人的個人資料作直接促銷或向第三方提供資料作直接促銷前,須先取得資料當事人知情的同意;這同意必須是由資料當事人明確表示,可包括表示不反對,但是沉默並不能構成同意。
此外,必須讓資料當事人在知情的情況下給予同意。資料使用者須向資料當事人告知:打算使用其個人資料作直接促銷的意圖、如沒有資料當事人同意的話資料使用者不能如此使用有關個人資料、意圖使用的個人資料類別、意圖就甚麽類別的促銷目的使用有關資料。資料使用者亦需告知資料當事人有權撤回同意。如果資料使用者意圖向第三方提供資料作直接促銷,須將這意圖告知資料當事人,並説明可能會提供資料予哪類人士和涉及甚麽類別的促銷目的,以及是爲了得益而提供資料等。違反有關直接促銷的規定可構成罪行,最高可被判罰款港幣50萬元及監禁3年,如屬爲了得益而提供資料予第三方的情況,最高可被判罰款港幣100萬元及監禁5年。
原則4 資料的保安
保障資料第4原則訂明要求資料使用者採取一切切實可行的步驟,保障個人資料不會未經授權或意外地被查閲、處理、刪除、喪失或使用。資料使用者尤其須考慮資料的種類、上述情況一旦發生所造成的損害,以至為確保能查閲資料人士的良好操守、審慎程度及辦事能力而採取的措施等。如果你聘用資料處理者處理個人資料,你必須採取合約規範或其他方法,確保資料處理者依從上述的資料保安要求。
原則5 透明度
保障資料第5原則訂明,資料使用者須採取一切切實可行的步驟,確保任何人都能確定其在個人資料方面的政策及實務,以及獲告知資料使用者所持有的個人資料種類和使用於甚麼主要目的。
原則6 查閲及改正
保障資料第6原則賦予資料當事人可要求查閲及改正自己的個人資料的權利。若資料使用者拒絕資料當事人提出的查閲或改正的要求,便要提供理由。
條例的第5部另有詳細條文補充保障資料第6原則,具體訂明遵從查閲及改正資料要求的方式及時限,以及在甚麼情況下資料使用者可拒絕依從這些要求等。資料使用者亦須備存記錄簿,記錄所有曾作出的拒絕。
