防止資料外洩有很多方法,業界最常提醒而又最容易處理的是及時更新軟件或使用最新版本的軟件。市區重建局(市建局)在這問題上做了反面教材,結果去年 5 月發生資料外洩事故,有 199 名出席衙前圍道/賈炳達道業權收購發展計畫簡報會人士的個人資料遭外洩,包括電話號碼、姓名及業權或通訊地址。私隱公署調查事件後裁定市建局未有適時更近軟件,並對收集個人資料的軟件認知不足,違反規定。
市建局的資料外洩事故發生在去年 5 月 3 日,局方接獲警方通知指涉事表格的部分資料有潛在外洩風險,立即停用 ArcGIS Online 雲端平台並刪除儲存於當中的個人資料。市建局其後得知登記出席簡報會人士的個人資料可在毋須輸入帳戶及密碼的情況下被瀏覽,並於 5 月 13 日向私隱專員公署通報。
私隱公署就事件發表調查結果指,市建局使用雲端平台 ArcGIS Online 附設的電子表格平台製作電子表格。惟該電子表格平台的軟件於 2022 年 7 月起供新版本下載,當中一項有關數據分享的預設值跟舊版本軟件並不相同。而市建局所使用的軟件屬舊版本,局方未有適時更新。
局方亦確認基於人員對該電子表格平台的版本未有足夠認知及了解,在測試電子表格時沒有仔細檢視有關的數據分享設定,未就相關功能進行安全測試。市建局同意,若局方所使用的電子表格平台軟件為最新版本,便不會發生外洩事件。
公署裁定市建局沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,違反《個人資料(私隱)條例》的規定。
去年 12 月,機電署同樣使用雲端平台 ArcGIS 洩露 17,000 人資料遭私隱公署斥違規。有見問題越趨嚴重,公署同時更新《雲端運算指引》,闡釋《私隱條例》適用於雲運算的相關要求,幫助機構更有效地管理和保護個人資料。《指引》針對雲運算服務的最新技術和趨勢,向機構提供採用建議,以保障個人資料私隱:
- 服務及部署模式:
- 機構應關注雲端服務供應商的更新,並及時調整相應軟件和配置。
- 私有雲端提供更多控制權,使用公共雲端的機構需謹慎考慮其私隱保障責任。
- 使用「軟件即服務」(SaaS)的機構需評估風險並減低相關風險。
- 標準服務及合約:
- 若供應商的安全標準不符合要求,機構應要求調整服務和合約條款,並核實供應商的保障措施。
- 外判安排:
- 機構需確保供應商的合約承諾同樣適用於其分包商。
- 其他建議:
- 保留審計追蹤記錄,定期檢視日誌以偵測異常。
- 確保使用者配置適當。
- 考慮加密儲存的個人資料,啟用多重身份認證。
- 合約中應明確列出資料刪除或交還的條款。