港府三部門一周連爆資料外泄風險事故 涉逾13萬人 專家指匪夷所思

最新發生市民資料外泄風險的部門是消防處，該處昨(6日)晚公布，上周五(3日)發現處方一個電腦系統內的部分資料有潛在外泄風險，涉及約480名在去年9月強颱風蘇拉襲港期間報告樹木倒塌事故的市民，以及近6000名消防處屬員的資料，絕大部分包括姓名丶電話號碼丶職級與編號及駐守崗位。

消防處經初步調查後相信，事件是在外判承辦商處理資料轉移時，有人擅自更改資料的讀取權限所致，處方已要求外判承辦商即時停止系統運作，並停掉承辦商的所有合約工作和撤回其電腦登入權限，以防資料外泄。

消防處為事件致歉，強調未有證據顯示資料被公開，但當局會加強保護措施，防止同類事件發生。

專家：公司註冊處資料外泄事故屬匪夷所思

涉及最多市民的個人資料外泄風險的，是擁有全港超過150萬間公司的董事個人資料的公司註冊處。

該處於本月3日公布事件時指出，其電子服務網站「早前」被發現有個人資料外泄風險，受影響人數約11萬人，該等人士的姓名丶護照及身份證號碼丶住址丶電話號碼及電郵均有外泄風險。處方公布時已完成維修，以封堵資料外泄的風險，但未有交代如何及何時發現資料外泄，以及為何只有11萬人受影響。

處方表示，經調查發現，承辦商在設計系統時，除了提供查閱登記冊(簡稱查冊)的相關資料外，還將額外個人資料傳輸到客戶端電腦，若查冊者在查冊結果頁面上利用開發者工具，便會取得此等額外的個人資料；如查冊者透過編寫程式查閱資料，亦會取得部分額外的個人資料。處方又發現，以電子方式提交持牌放債人委任第三方的通知書時，也曾出現同樣情況。

已就事件展開調查的私隱專員公署表示，截至昨日下午，共接獲四宗相關查詢及一宗投訴；而公司註冊處本身就收到40宗查詢，未有資料外泄報告。

資訊科技商會榮譽會長方保僑昨在電台節目中形容, 公司註冊處的錯失是匪夷所思，不應該出現，因為該處是在新系統推出幾個月後在自行檢查中發現漏洞，而不是在推出新系統核實沒有漏洞。

機電署事故涉兩年前資料 專家指保留時間太長

而另一件不可能發生的錯誤，涉及機電工程處，而且事件是經市民向私隱公署報告後揭發。

機電署於上周四(2日)晚公布該宗「網上伺服器平台系統安全事故」，涉及該署於前年3月至7月期間為應對新冠病毒而執行「圍封強檢」行動時所收集的14幢公共屋邨丶1.7萬名居民資料。

有關資料存放於須獲授權人士以密碼方式登陸的網上伺服器平台，但有市民向私隱公署報告，指該等資料可在網上任人瀏覽，該署在上月30日傍晚通知機電署。機電署經查證後已要求供應商即晚從網上平台移除相關資料。

對於機電署資料外泄風險事故，資訊科技商會榮譽會長方保僑指出，署方在「圍封強檢」期間收集的個人資料，實不應存放在承辦商的雲端伺服器，因為 一旦承辦商更改系統權限，情況便難以控制，估計是當時為了方便政府人員外勤工作時可瀏覽該等資料而作出的安排，但有關資料在事隔兩年後仍保留在系統內，實無必要，建議部門在合理時間內清除相關資料。

他又說，政府部門現時各自有資訊科技部，聽取資訊科技總監辦公室建議行事，期望由該辦和效率促進辦公室合並而成的「數字政策辦公室」於年中成立後，可以擔當統籌角色，避免部門各自為政丶重複犯錯。

在三個部門相繼出現資料外泄風險事故前，數碼港和消費者委員會亦曾發生電腦系統被黑客入侵和勒索事故，涉及約1.4萬人，私隱公署批評相關機構的網絡安全意識不足；言猶在耳之際，接連爆出部門電腦系統資料外泄風險，立法會議員田北辰形容，資訊安全問題一如疫症，由法定機構蔓延至政府部門，要求港府儘快向立法會交代涉事公營機構及部門處理資料流程，以及承辦商投標和懲處機制等，建議港府公開涉事承辦商名未及列入「黑名單」。