私隐专员公署发表公司注册处资料外泄事故调查结果并向户户送展开循规审查

更新时间：12:15 2025-03-12 HKT
发布时间：12:15 2025-03-12 HKT

私隐专员公署今日(12日)公布针对公司注册处资料外泄事故的调查结果，并同时宣布就外卖平台户户送结束香港业务展开循规审查。

公司注册处资料外泄事件调查

调查始于2024年4月19日，公司注册处向私隐专员公署通报的资料外泄事件。该事件涉及其「电子服务网站」内的电子查册系统，存在个人资料外泄风险。公司注册处于2023年12月27日推出全新「公司注册处综合资讯系统」及「电子服务网站」，提供电子查册及文件提交服务。然而，2024年4月18日例行检查发现，该系统在提供查册资料时，会将额外个人资料传输至查册者电脑。这些资料并非直接显示于查册页面，需透过一般用户甚少使用的开发者工具或编写程式搜寻才能获取。此外，以电子方式提交持牌放债人委任第三方通知书时也出现类似问题。

私隐专员公署对此进行四次查讯，两度要求处方委托翻新相关系统的提供资料，共审视逾1,500页文件，包括服务合约、系统设计及测试报告等。调查发现，外泄源于系统设计时用了常用模组（common module），未有移除部分数据字段（data field），导致额外资料被传输到查册者的电脑。自系统推出起即存在此问题，但无证据显示相关资料曾被未经授权查阅。

外泄事件中可能受影响的人士数目为109,002名，包括108,575名公司董事、217名被取消资格人士、放债人牌照申请人及持牌放债人、以及 210 名持牌放债人联络人，外涉的资料包括姓名、电话号码及／或电邮地址等。近9成涉及的个人资料，包括公司董事资料，仍可从已登记文件中经查册服务查阅。公司注册处已通知受影响人士、修正系统并委托第三方检视，采取改善措施。

私隐专员公署认为，公司注册处在系统翻新中采取多项保安措施，如透过合约规范承办商在设计相关系统时采取保障私隐方式及遵从政府的相关准则及指引、公司注册处及承办商亦进行多项测试及评估等，且亦并无证据显示任何「额外」的个人资料已遭不当查阅。根据《私隐条例》保障资料第4(1)原则，公署并无足够证据显示，公司注册处在翻新相关系统的过程中没有采取所有切实可行的步骤保障所持有的个人资料，但已建议处方定期检视系统设计及安全。

调查由助理个人资料私隐专员（法律）（署理）赖皓茵及首席个人资料主任（合规及查询）郭正熙主导，因专员钟丽玲曾任公司注册处处长而避嫌未参与。