港府三部门一周连爆资料外泄风险事故 涉逾13万人 专家指匪夷所思

最新发生市民资料外泄风险的部门是消防处，该处昨(6日)晚公布，上周五(3日)发现处方一个电脑系统内的部分资料有潜在外泄风险，涉及约480名在去年9月强台风苏拉袭港期间报告树木倒塌事故的市民，以及近6000名消防处属员的资料，绝大部分包括姓名丶电话号码丶职级与编号及驻守岗位。

消防处经初步调查後相信，事件是在外判承办商处理资料转移时，有人擅自更改资料的读取权限所致，处方已要求外判承办商即时停止系统运作，并停掉承办商的所有合约工作和撤回其电脑登入权限，以防资料外泄。

消防处为事件致歉，强调未有证据显示资料被公开，但当局会加强保护措施，防止同类事件发生。

专家：公司注册处资料外泄事故属匪夷所思

涉及最多市民的个人资料外泄风险的，是拥有全港超过150万间公司的董事个人资料的公司注册处。

该处於本月3日公布事件时指出，其电子服务网站「早前」被发现有个人资料外泄风险，受影响人数约11万人，该等人士的姓名丶护照及身份证号码丶住址丶电话号码及电邮均有外泄风险。处方公布时已完成维修，以封堵资料外泄的风险，但未有交代如何及何时发现资料外泄，以及为何只有11万人受影响。

处方表示，经调查发现，承办商在设计系统时，除了提供查阅登记册(简称查册)的相关资料外，还将额外个人资料传输到客户端电脑，若查册者在查册结果页面上利用开发者工具，便会取得此等额外的个人资料；如查册者透过编写程式查阅资料，亦会取得部分额外的个人资料。处方又发现，以电子方式提交持牌放债人委任第三方的通知书时，也曾出现同样情况。

已就事件展开调查的私隐专员公署表示，截至昨日下午，共接获四宗相关查询及一宗投诉；而公司注册处本身就收到40宗查询，未有资料外泄报告。

资讯科技商会荣誉会长方保侨昨在电台节目中形容, 公司注册处的错失是匪夷所思，不应该出现，因为该处是在新系统推出几个月後在自行检查中发现漏洞，而不是在推出新系统核实没有漏洞。

机电署事故涉两年前资料 专家指保留时间太长

而另一件不可能发生的错误，涉及机电工程处，而且事件是经市民向私隐公署报告後揭发。

机电署於上周四(2日)晚公布该宗「网上伺服器平台系统安全事故」，涉及该署於前年3月至7月期间为应对新冠病毒而执行「围封强检」行动时所收集的14幢公共屋邨丶1.7万名居民资料。

有关资料存放於须获授权人士以密码方式登陆的网上伺服器平台，但有市民向私隐公署报告，指该等资料可在网上任人浏览，该署在上月30日傍晚通知机电署。机电署经查证後已要求供应商即晚从网上平台移除相关资料。

对於机电署资料外泄风险事故，资讯科技商会荣誉会长方保侨指出，署方在「围封强检」期间收集的个人资料，实不应存放在承办商的云端伺服器，因为 一旦承办商更改系统权限，情况便难以控制，估计是当时为了方便政府人员外勤工作时可浏览该等资料而作出的安排，但有关资料在事隔两年後仍保留在系统内，实无必要，建议部门在合理时间内清除相关资料。

他又说，政府部门现时各自有资讯科技部，听取资讯科技总监办公室建议行事，期望由该办和效率促进办公室合并而成的「数字政策办公室」於年中成立後，可以担当统筹角色，避免部门各自为政丶重复犯错。

在三个部门相继出现资料外泄风险事故前，数码港和消费者委员会亦曾发生电脑系统被黑客入侵和勒索事故，涉及约1.4万人，私隐公署批评相关机构的网络安全意识不足；言犹在耳之际，接连爆出部门电脑系统资料外泄风险，立法会议员田北辰形容，资讯安全问题一如疫症，由法定机构蔓延至政府部门，要求港府尽快向立法会交代涉事公营机构及部门处理资料流程，以及承办商投标和惩处机制等，建议港府公开涉事承办商名未及列入「黑名单」。