市建局泄199人资料　私隐公署调查揭未适时更新软件　已发警告信

市建局去年5月公布，其发现云端平台可让使用者在无需以帐户及密码登入特定页面的情况下，浏览专属登记表格所储存的资料，涉及199名已回复出席衙前围道 / 贾炳达道发展计划简介会的居民或商户个人资料，包括电话号码、姓名及地址等。
私隐专员公署今（9日）发表调查结果，指市建局未适时更新软件，且对用以收集个人资料的软件认知不足引起，违法《个人资料（私隐）条例》，已向市建局发警告信，要求该局采取措施加强保障所持有的个人资料，防止类似违规情况再次发生。

事发于去年5月，市建局使用云端平台ArcGIS Online附设的电子表格平台制作了两份电子表格于当月2日将有关电子表格上线，以供出席者填写资料进行登记；市建局翌日即接获警方通知指涉事表格的部份资料有潜在外泄风险，遂立即停用ArcGIS Online云端平台并删除储存于当中的个人资料，并在其后了解到登记出席简报会人士的个人资料可在毋须输入帐户及密码的情况下被浏览。

私隐专员公署指，公署去年5月13日接获市建局通报，确认受影响人士为199名已回复出席简介会的业主及租户，所涉及的个人资料包括联络电话号码、联络人姓名及业权或通讯地址等个人资料。

公署指，市建局与提供该电子表格平台的承办商进行联合调查，得知该电子表格平台软件有不同版本，新版本软件于2022年7月起供下载，当中一项有关数据分享的预设值在新旧版本软件中并不相同；在新版本软件预设值下，用户需作出额外多项设定才可让平台使用者在不需要登入的情况下查阅已输入的数据。

不过，市建局用于制作涉事表格的软件属其早前已下载并安装的旧版本软件，故上述新版本软件用以加强保护用户数据的相关预设值并没有被套用于涉事表格；另一方面，市建局确认基于局方人员对平台版本未有足够认知了解，故测试的过程中未仔细检视数据分享设定，未有就相关功能进行安全测试。市建局同意若事发时局方所使用的软件为当时最新之版本，便不会发生外泄事件。

私隐专员钟丽玲认为事件中市建局有两大缺失，包括未适时进行软件更新，以及对用以收集个人资料的软件认知不足，并裁定市建局无采取所有切实可行的步骤确保涉事个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响，违反《私隐条例》，已向市建局发警告信。

市建局回应指接纳调查结果，并同意若更新版本及对相关软件有足够认知应可避免事件，会严肃跟进并采取适当行动。该局称已启动一系列加强保障个人资料的措施，包括要求相关云端平台供应商加强售后服务，适时通报产品功能更新并提供培训和技术支援；检视工作指引，并委聘审计公司进行全面资讯保安审计等。

该局指会总结今次经验，致力建立一套更稳建的私隐保安框架和保障个人资料的机构文化，尽力减低类似事件发生的机会。