公司註冊處「電子服務網站」的電子查冊系統出去年4月出現個人資料外泄風險,私隱專員公署今(12日)公布調查結果,稱事件可能影響約10.9萬人,但無證據資料已遭不當查閱,而公司註冊處在翻新相關系統時採取了切實可行的保障步驟,認為無違反《私隱條例》。
私隱公署表示,受影響人士包括10.8萬名公司董事的身份證及護照號碼或住址、217名被取消資格人士、放債人牌照申請人及持牌放債人委任的第三方的身份或護照號碼,以及210名持牌放債人聯絡人的姓名、電話號碼或電郵地址。
署方稱,事件源於設計系統的相關功能時使用了常用模組(common module),未有移除部分數據字段(data field),導致額外的個人資料傳輸到查冊者的電腦。調查顯示自前年12月推出相關系統便出現上述情况,但相關資料並非顯示在查冊結果頁面上,涉事的「額外」個人資料曾受未獲准許的查閲可能性較低。
公司註冊處於2023年12月推出全新「公司註冊處綜合資訊系統」及「電子服務網站」,提供電子查冊及提交文件服務,但去年4月18日例行檢查發現,系統在提供查冊資料時,會將額外個人資料傳輸至查冊者電腦,但並非直接顯示於查冊頁面,需透過一般用戶甚少使用的開發者工具或編寫程式搜尋才能獲取。此外,以電子方式提交持牌放債人委任第三方通知書時也出現類似問題。
私隱公署又稱,公司註冊處在翻新相關系統的過程中已採取一系列的保安措施,包括要求承辦商在翻新相關系統所採取的措施、推出相關系統前進行測試及評估,以及額外的編碼審查。