公司註冊處去年4月發生資料外洩事故。資料圖片

【橙訊】公司註冊處去年4月發生資料外洩事故，導致有大約11萬人受影響。私隱專員公署完成調查，認為並沒有足夠證據，顯示註冊處違反資料保障原則。

公署表示，根據公司註冊處及承辦商所提供的資料，外洩事件源於在設計系統的相關功能時使用了常用模組，未有移除部分數據字段，導致「額外」的個人資料被傳輸到查冊者的電腦。調查顯示，公司註冊處自2023年底推出相關系統起，就出現有關情況。

公署指，外洩事件中可能受影響的人士數目為109,002名，包括108,575名公司董事的香港身份證號碼、護照號碼及／或通常住址、217名被取消資格人士、放債人牌照申請人及持牌放債人委任的第三方的香港身份證號碼及／或護照號碼，以及210名持牌放債人聯絡人的姓名、電話號碼及／或電郵地址。而根據調查，近90%涉及的個人資料，包括公司董事資料，仍可從已登記文件中經查冊服務查閱。

公署表示，調查發現相關「額外」資料並非顯示在查冊結果頁面上，亦無證據顯示有「額外」的個人資料曾遭受未獲准許的或意外的查閱。而根據調查獲得的所有資料及相關事實，公司註冊處在翻新相關系統的過程中已採取一系列的保安措施，包括處方透過合約規範要求承辦商在翻新相關系統所採取的措施、處方及承辦商在推出相關系統前進行的測試及評估，以及額外的編碼審查。

公署總結指，認為並無足夠證據顯示，公司註冊處在翻新相關系統的過程中沒有採取所有切實可行的步驟保障所持有的個人資料，以致違反保障資料原則。然而公署指出，但考慮到相關系統的個人資料確實曾經存在外洩風險，已建議公司註冊處對載有個人資料的系統進行定期及全面的檢視，確保它們沒有其他系統設計及安全漏洞。

公署指，無足夠證據顯示公司註冊處在事件中違反保障資料原則。 資料圖片