市建局外洩199市民資料 私隱公署裁違例發警告信

市建局去年5月發生資料外洩事故，199名計劃出席衙前圍道/賈炳達道業權收購發展計劃簡介會的業主及租戶之個人資料外洩，包括聯絡電話號碼、姓名及地址等。個人資料私隱專員公署昨日公布事故的調查結果，認為市建局未有適時更新軟件，對用以收集個人資料的軟件認知不足，未能為軟件的使用制訂及進行有效及全面的安全測試，是導致外洩事件發生的主因，裁定市建局違反《個人資料（私隱）條例》。

私隱專員公署就事件進行了5次查訊，亦兩度去信要求承辦商提供相關資料。公署調查發現，市建局使用雲端平台ArcGIS Online附設的電子表格平台製作電子表格，並於去年5月2日將有關電子表格上網，以供出席簡報會的業主、租客和商戶填寫資料進行登記。
市建局需採取措施加強保障

市建局在有關電子表格上網翌日，在接獲警方通知指涉事表格的部分資料有潛在外洩風險後，立即停用ArcGIS Online雲端平台並刪除儲存於當中的個人資料，市建局其後得知登記出席簡報會人士的個人資料可在毋須輸入帳戶及密碼的情況下被瀏覽，並於5月13日向私隱專員公署通報。

市建局及電子表格平台承辦商聯合調查，發現軟件有不同版本，市建局使用的軟件屬舊版本，未能應用新版本預設要登入才可查閱數據的功能。
公署更新《雲端運算指引》

私隱專員鍾麗玲裁定，市建局沒有採取所有切實可行的步驟，以確保涉事的個人資料受保障，而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響，因而違反了《私隱條例》。

私隱專員已向市建局發出警告信，要求市建局採取措施加強保障所持有的個人資料，防止類似違規情況再次發生。

公署又更新《雲端運算指引》，鍾麗玲鼓勵機構採取《指引》中的建議措施，例如加密儲存於雲端的個人資料、確保只有獲授權人士能存取雲端的個人資料、了解雲端供應商提供的最新功能或配置，以及確保與雲端服務供應商簽訂的合約中，有條文規定雲端服務供應商在合約完結時刪除或交還其持有的個人資料等。