市建局外泄199市民资料 私隐公署裁违例发警告信

市建局去年5月发生资料外泄事故，199名计划出席衙前围道/贾炳达道业权收购发展计划简介会的业主及租户之个人资料外泄，包括联络电话号码、姓名及地址等。个人资料私隐专员公署昨日公布事故的调查结果，认为市建局未有适时更新软件，对用以收集个人资料的软件认知不足，未能为软件的使用制订及进行有效及全面的安全测试，是导致外泄事件发生的主因，裁定市建局违反《个人资料（私隐）条例》。

私隐专员公署就事件进行了5次查讯，亦两度去信要求承办商提供相关资料。公署调查发现，市建局使用云端平台ArcGIS Online附设的电子表格平台制作电子表格，并于去年5月2日将有关电子表格上网，以供出席简报会的业主、租客和商户填写资料进行登记。
市建局需采取措施加强保障

市建局在有关电子表格上网翌日，在接获警方通知指涉事表格的部分资料有潜在外泄风险后，立即停用ArcGIS Online云端平台并删除储存于当中的个人资料，市建局其后得知登记出席简报会人士的个人资料可在毋须输入帐户及密码的情况下被浏览，并于5月13日向私隐专员公署通报。

市建局及电子表格平台承办商联合调查，发现软件有不同版本，市建局使用的软件属旧版本，未能应用新版本预设要登入才可查阅数据的功能。
公署更新《云端运算指引》

私隐专员锺丽玲裁定，市建局没有采取所有切实可行的步骤，以确保涉事的个人资料受保障，而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响，因而违反了《私隐条例》。

私隐专员已向市建局发出警告信，要求市建局采取措施加强保障所持有的个人资料，防止类似违规情况再次发生。

公署又更新《云端运算指引》，锺丽玲鼓励机构采取《指引》中的建议措施，例如加密储存于云端的个人资料、确保只有获授权人士能存取云端的个人资料、了解云端供应商提供的最新功能或配置，以及确保与云端服务供应商签订的合约中，有条文规定云端服务供应商在合约完结时删除或交还其持有的个人资料等。