公司注册处外泄近11万人个人资料事故 私隐署公布调查结果

资料图。

香港文汇报讯（记者 萧景源）公司注册处去年5月通报涉及近11万人个人资料外泄事故，私隐专员公署今日（12日）公布调查结果，指相关个人资料非直接显示在查册结果页面上，并无证据显示个人资料遭不当查阅；另公司注册处翻新系统时，已采取一系列保安措施，认为没有足够证据显示违反《私隐条例》。

事故始于2023年12月27日，公司注册处推出全面翻新的“公司注册处综合资讯系统”及其“电子服务网站”；至2024年4月18日进行例行工作时，发现“电子服务网站”内的电子查册系统，除提供查册相关资料外，查册者可透过浏览器的“开发者工具”，搜寻输入部份个人资料如身份证号码，可以寻找到额外的个人资料，查册者亦可以透过编写程式获得资料，涉近11万人可能受影响。公司注册处于2024年5月3日公布事故，私隐专员公署即时展开调查。

私隐专员公署今日公布调查报告，公署向公司注册处查讯4次，两度去信要求负责翻新的承办商提供资料，又审视处方超过1，500页文件。调查发现，设计系统时采用常用模组（common module），未有移除部分数据字段（data　field），导致额外个人资料被传输到查册者的电脑，情况由2023年12月27日推出翻新系统起出现。事件中，外泄潜在影响人士包括10.86万名公司董事的香港身份证号码、护照号码及／或通常住址；217名被取消资格人士、放债人牌照申请人及持牌放债人委任的第三方的香港身份证号码及／或护照号码，以及210名持牌放债人联络人的姓名、电话号码及／或电邮地址。

私隐专员公署调查显示，近九成可能外泄的资料，仍可从已登记文件中经查册服务查阅，无证据显示涉事的个人资料，曾被意外或未获准许查阅；而公司注册处翻新系统时，采取一系列保安措施，并无足够证据显示处方没采取所有切实可行的步骤，保障所持有的个人资料，因此认为没有违反《私隐条例》。公署建议，公司注册处定期及全面检视系统，确保没有其他系统设计及安全漏洞。