【明報專訊】分別於香港和上海設辦事處的獵頭公司aimHigher，專營專業人士級別的人力資源管理。上月中，有向aimHigher遞交履歷的求職者發現其網站連結未有加密，擔心個人資料遭外泄。記者測試後推算約2萬份履歷外泄，涉及多國人士，包括法國的銀行經濟學家、新西蘭的風險投資管理業行政總裁和公司合伙人等，大部分履歷均載有地址、身分證及電話等個人敏感資料。私隱專員公署接報後已展開循規審查。

倘資料遭意外使用　公司或違私隱例

私隱專員公署回覆本報表示關注事件，尤其當中涉及大量詳細的個人履歷，包括姓名、 地址、電話、出生日期、身分證號碼、學歷及工作履歷等，已聯絡相關公司了解事件及展開循規審查；若有公司(作為資料使用者)持有的客戶或求職人士的個人資料遭外泄，令資料有可能因此被未獲授權或意外地被查閱或使用，該公司有可能違反《個人資料(私隱)條例》(「條例」)下的資料保安原則(見另稿)。

公司董事：網站已加密　疑黑客入侵

aimHigher香港辦事處位於中環怡和大廈，記者上門查詢，公司董事羅先生接受訪問時表示上周二(1日)收到私隱署查詢後才知悉事件，當日即時聯絡網站設計公司，將上載在網站的所有履歷下架，並即時將網站加密，公司會配合公署調查。羅先生表示從事人力資源工作多年，公司專注專業領域，首次發生資料外泄事件，又聲稱自己不熟悉資訊科技，懷疑網站遭黑客入侵，已報警處理。

警接報案　列「不誠實取用電腦」

警方回覆指出，上周三接獲一名姓陳女負責人報案，稱其公司的網頁早前懷疑被黑客入侵，令客戶的個人資料外泄。案件暫列「有犯罪或不誠實意圖而取用電腦」，暫未有人被捕。

用家改連結序號測試　見他人履歷

從事投資銀行分析員的陳先生(化名)，上月初向aimHigher提交履歷並獲該公司電郵確認，惟懷疑網站的個人履歷連結未有加密，於是隨機測試改變連結上的序號，「點知一按就睇到其他人的履歷」。陳先生認為獵頭公司應注重資料私隱的保密，「不應該有此漏洞出現」。

資料包地址身分證電話

記者測試該連結，並以每一百作單位輸入不同序號，由100到20000的序號絕大部分均可下載履歷，估計涉及2萬份履歷，涉及世界各地應徵者，大部分為專業人士，包括法國銀行經濟學家、新西蘭的風險投資管理業行政總裁和印度銀行經理等，有人月薪超過10萬港元，而大部分履歷表上均有地址、身分證及電話等資料。

記者其後抽樣發電郵及致電涉事者查詢，曾任怡和保險顧問有限公司高級人力資源經理的李小姐(化名)回覆，從未主動向aimHigher提交履歷表，對履歷外泄感驚訝，表示會保留法律追究權利。

曾任AECOM亞洲資訊科技部董事的梁先生(化名)證實有履歷屬於他，但要先了解情�G才決定行動。

履歷不應填過多個人資料

安俊人力資源顧問董事總經理周綺萍提醒求職者，履歷不應填寫過多個人資料，以保障私隱(見圖)。

香港互聯網協會網絡保安及私隱小組召集人楊和生分析aimHigher網站和該連結，認為資料外泄屬於保安上的低級錯誤：「(網站的保安設計上)並無作出任何考慮，如有心偷資料，寫一個簡單程式便可存取所有資料。」

明報記者

■明報報料熱線﹕inews@mingpao.com/ 9181 4676