市建局外洩199人資料遭私隱公署警告 被要求加強保安措施

市建局於去年5月向私隱專員公署通報一則資料外洩事件，當中涉及199名計劃參加衙前圍道／賈炳達道業權收購發展計劃簡報會的業主、租客和商戶的個人資料，包括聯絡電話號碼、聯絡人姓名及業權或通訊地址。私隱公署就此事件多次向市建局查詢，並兩度去信要求承辦商提供相關資料。私隱公署於昨 (9日) 發表調查結果，指事件主因是市建局未能及時更新軟件，並且對用以收集個人資料的軟件認知不足。

調查顯示，市建局使用雲端平台ArcGIS Online附設的電子表格平台製作的電子表格，在去年5月3日被通知有潛在資料外洩風險後停用並刪除。然而，已登記人士的個人資料發現可在無需輸入帳戶及密碼的情况下被瀏覽。另外還發現該平台的軟件有不同版本，新版軟件自2022年7月起可供下載，其中數據分享的預設值與舊版本不同。市建局使用的是舊版本，因此未能利用新版本需要登入才可查看數據的功能。

此外，市建局確認其人員對電子表格平台版本認知不足，在測試過程中未仔細檢視數據分享設定，也未進行安全測試。市建局承認，如果當時使用的是最新版本，就不會發生這次外洩事件。

私隱公署裁定市建局沒有採取所有實際措施以保障個人資料免受未獲准許或意外的查閱、處理、刪除、喪失或使用，違反《個人資料（私隱）條例》的規定，因而向市建局發出警告信，要求加強保障措施以防止類似事件再度發生。

市建局表示，已要求雲端平台供應商或承辦商加強售後服務，並將檢視工作指引，重新評估和改善工作流程。同時將委託審計公司進行資訊保安審計，以及聘請顧問公司制定包括管理資料處理者等政策。此外，市建局計劃加強技術人員在數據安全及個人資料方面的培訓。

市建局還表示正在研發自主平台，以減少對第三方平台及外部環境因素影響和潛在安全風險的依賴。

同時，私隱專員公署更新了《雲端運算指引》，針對雲端運算服務的新技術和趨勢，提供包括關注服務更新、保留審計記錄和啟用多重身份認證功能等多方面的建議措施。