香港私隐专员公署公布 市建局资料外泄事件调查结果及《云计算指引》

2025年1月9日， 香港个人资料私隐专员公署(PCPD)完成对市建局资料外泄事件的调查后。并发布最新版《云计算指引》(Guidance on Cloud Computing，下称“《指引》”)。以帮助组织根据《个人资料(私隐)条例》(保护个人资料隐私 。《指引》包括使用私有云、定制服务、确保外包商合规以及实施加密和多因素身份验证等安全措施的建议。它强调了组织和云服务提供商共同遵守《条例》的责任。

2024年5月2日，市建局利用云端平台ArcGIS Online的电子表格平台(the e-Form Platform)制作两份电子表格，供衙前围路/贾炳达路(地名)发展计划物业收购简介会使用，供出席简介会的业主、租户及商铺经营者填写登记资料。市建局表示，在制作电子表格时曾进行多次保安检查。然而，市建局于2024年5月3日接获警方通报，指电子表格部分资料可能遭外泄，随即停止使用云端平台ArcGIS Online，并删除其中的个人资料。市建局其后得悉，已登记出席简介会人士的个人资料可由任何人在无须以密码登入任何帐户的情况下取用，因此市建局于2024年5月13日向PCPD提交资料外泄通报。

该事件影响199名已答应出席简介会的业主及租户的个人资料，受影响的个人资料包括电话号码、联系人姓名及业权详情或通讯地址。

因此事件，市建局与提供电子表格平台的承建商进行联合调查，了解到电子表格平台软件有不同版本，新版本自2022年7月起可供下载。特别是，新旧版本有关数据共享的默认值有所不同。对于新版本下的默认值，只有当用户进行一些额外设置时，软件才会允许他们无需登录即可查看资料输入。但市建局制作表格所用的软件是早前下载安装的旧版本，因此上述加强保护个人资料的新版本默认值并未应用于涉案电子表格。另一方面，市建局承认，由于其员工对电子表格平台相关版本缺乏足够认识及了解，在测试电子表格时，没有详细检视相关资料共享设定，亦没有对相关功能进行安全测试，从而导致事件发生。市建局表示，若当时使用的软件是最新版本的电子表格平台，事件不会发生。

根据市建局提供的资料，市建局在得知事件后，立即通知公众，并尽力确保市民个人资料不会外泄，尽量减低对市民造成的影响或不便。市建局亦努力汲取事件教训，实施一系列组织及技术改善措施，建立更完善的私隐安全架构及重视个人资料保障的企业文化，防止同类事件再次发生。

调查结果：PCPD在调查过程中，对市建局进行了五轮调查，并两次联系承建商，以获取事件的相关资料。PCPD感谢市建局及承建商的合作，并提供调查所需的资料及文件。PCPD私隐专员钟丽玲考虑事件的情况及调查所得的资料后，认为市建局的以下条件考虑不周是导致事件发生的主要原因 ：

1. 未能及时更新软件，以确保所用软件为最新版本。市建局一直没有采取任何行动检查其使用的电子表格平台软件是否为最新版本，亦未能更新软件;