新聞稿

個人資料私隱專員公署（私隱專員公署）完成對公司註冊處資料外洩事故的調查，並於今日發表調查結果。
 
調查源於公司註冊處於2024年4月19日向私隱專員公署通報的資料外洩事故，表示其「電子服務網站」內的電子查冊系統出現個人資料外洩風險（外洩事件）。
 

背景

公司註冊處於2023年12月27日推出全面翻新的「公司註冊處綜合資訊系統」（相關系統）及其「電子服務網站」，為用戶提供電子查冊及文件提交等服務。其後，公司註冊處於2024年4月18日進行例行工作時，發現「電子服務網站」內的電子查冊系統除提供查冊相關資料外，同時亦可以將額外的個人資料傳輸到查冊者的電腦。然而，該些個人資料並非直接顯示在查冊結果頁面上，查冊者需要在查冊結果頁面上打開一般用戶甚少使用的開發者工具[1]（web developer tool），並在開發者工具顯示的眾多程式碼中，使用搜尋功能並輸入部分個人資料（例如部分香港身份證號碼）以尋找「額外」的個人資料。另外，查冊者亦可透過編寫程式[2]（robotic search）取得部分「額外」的個人資料。此外，以電子方式提交持牌放債人委任第三方的通知書時，亦出現同樣情況。

 
調查結果
 
私隱專員公署就外洩事件向公司註冊處進行了四次查訊，亦兩度去信要求獲處方委託翻新相關系統的承辦商（承辦商）就外洩事件提供資料。私隱專員公署審視了公司註冊處提供的超過1,500頁的文件，當中包括與承辦商簽訂的服務合約、相關系統的設計及測試報告等。私隱專員公署感謝公司註冊處及承辦商配合調查，並提供所要求的資料。
 
根據公司註冊處及承辦商所提供的資料，外洩事件源於在設計系統的相關功能時使用了常用模組（common module），未有移除部分數據字段（data field），導致「額外」的個人資料被傳輸到查冊者的電腦。調查顯示公司註冊處自推出相關系統（即2023年12月27日）起便出現上述情況；然而，相關「額外」資料並非顯示在查冊結果頁面上，亦無證據顯示涉事的「額外」個人資料曾受到未獲准許的或意外的查閲。
 
外洩事件中可能受影響的人士數目為109,002名，包括108,575名公司董事的香港身份證號碼、護照號碼及／或通常住址、217名被取消資格人士、放債人牌照申請人及持牌放債人委任的第三方的香港身份證號碼及／或護照號碼，以及210名持牌放債人聯絡人的姓名、電話號碼及／或電郵地址。調查顯示，近九成涉及的個人資料，包括公司董事資料，仍可從已登記文件中經查冊服務查閱。
 
公司註冊處在外洩事件發生後已通知所有可能受影響人士、即時修正相關系統設計、委託獨立的第三方全面檢視相關系統，並採取改善措施以防止類似事件再次發生。
 
經考慮外洩事件的情況及調查所獲得的資料，私隱專員公署就外洩事件的觀察如下：─
 

 

 
《個人資料（私隱）條例》（《私隱條例》）的保障資料第4(1)原則訂明，資料使用者須採取所有切實可行的步驟，以確保由資料使用者持有的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。
 
私隱專員公署的調查發現並無證據顯示有「額外」的個人資料曾遭受未獲准許的或意外的查閱。根據調查獲得的所有資料及相關事實，公署留意到公司註冊處在翻新相關系統的過程中已採取一系列的保安措施，包括處方透過合約規範要求承辦商在翻新相關系統所採取的措施、處方及承辦商在推出相關系統前進行的測試及評估，以及額外的編碼審查。
 
基於上述發現，私隱專員公署認為並無足夠證據顯示，公司註冊處在翻新相關系統的過程中沒有採取所有切實可行的步驟保障所持有的個人資料，以致違反保障資料第4(1)原則。雖然如此，考慮到相關系統的個人資料確實曾經存在個人資料外洩風險，公署已建議公司註冊處對載有個人資料的系統進行定期及全面的檢視，確保它們沒有其他系統設計及安全漏洞。
 
基於個人資料私隱專員鍾麗玲於2020年9月前曾出任公司註冊處處長，為避嫌起見，是次調查由助理個人資料私隱專員（法律）（署理）賴皓茵及首席個人資料主任（合規及查詢）郭正熙主導及跟進，鍾麗玲未有參與是次調查工作。
 
對戶戶送展開循規審查
 
另外，外賣平台戶戶送早前宣布將會結束香港業務，事件可能影響戶戶送客戶及送遞員在個人資料私隱方面的權益。私隱專員公署已根據既定程序就事件展開循規審查，以取得更多與事件有關的資料，並協助相關商戶，包括接手其業務的營運者，以符合《私隱條例》的規定處理、刪除或轉移客戶及送遞員的個人資料，確保客戶及送遞員的個人資料不會被濫用、外洩或者流入不法分子手中作詐騙用途。公署亦呼籲受影響客戶及送遞員若關注有關商戶處理個人資料的安排，可向相關商戶或公署作出查詢（電話：2827 2827、電郵：communications@pcpd.org.hk）。

---