大開眼界:個人資料私隱專員公署
【明報專訊】個人資料私隱專員公署屬獨立機構,負責監察、監管及確保各界遵從《個人資料(私隱)條例》,條例規管個人資料的收集和使用方式,防止任何人因濫用個人資料而侵犯到他人的私隱,並適用於任何收集、持有、處理或使用個人資料者,包括私營機構、公營機構及政府部門。
■新聞撮要
Carousell泄32萬港客資料
私隱署批「雙重人為錯誤」
網上分類買賣平台Carousell(旋轉拍賣)2022年10月發現資料外泄,260萬名用戶的個人資料被放在暗網出售,其中32.4萬個香港帳號受影響,外泄資料包括電郵、電話號碼和出生日期;當時公眾對事件所知不多,有受影響用戶曾收到該公司通知,但亦有用戶稱從未接獲通知。事隔逾年,本港私隱專員公署2023年12月公布調查報告,認為Carousell在保障個人資料安全「犯了根本性的失誤,實令人非常失望」,限兩個月內糾正。
系統遷移漏加過濾器 後知後覺
調查報告指該公司於2022年1月中推出一個使用者應用程式界面(API),由於人為錯誤,在系統遷移過程中遺漏添加編碼過濾器,導致額外的個人資料被顯示。Carousell事隔8個月後,即9月中才發現該保安漏洞,當時分析認為相關應用程式界面無被異常濫用。該公司通報私隱公署後,委任獨立資訊科技顧問公司調查,始確認同年5月及6月有來自緬甸IP的網絡攻擊者擷取46個帳號資料,並用以追蹤大量其他帳號,獲取更多個人資料。
公署調查後認為,Carousell違反《私隱條例》保障資料第四原則,即資料使用者須採取所有切實可行步驟,確保持有的個人資料不受未獲准許或意外查閱等影響。公署批評今次事故涉「雙重的人為錯誤」,負責系統遷移的高級工程師遺漏添加過濾器,其後的編碼覆檢程序,未就保安問題覆檢,令漏洞沒及早發現。公署批評,該公司作大規模系統遷移時沒做私隱影響評估。
(主要學習重點:科技倫理與資訊素養)
◆機構簡介
? 1996年成立
? 監察及協助特區政府委任的私隱專員執行《私隱條例》
? 推廣如何保障和尊重個人資料的文化
部分工作範疇
? 調查及解決投訴個案
? 為個人資料私隱受侵犯者提供法律協助
? 伙拍其他規管者執行《私隱條例》
? 與海外的保障資料機構合作處理跨境的私隱問題與投訴
■知識增益
分辨「起底」小測試
個人資料是指能識別某人身分,並可讓人查閱或處理的資料。2021年10月《個人資料(私隱)條例》完成修訂,私隱專員有權就「起底」相關罪行作刑事調查及檢控,同時有權要求停止披露涉及「起底」的內容。試判斷以下哪些情G有可能違法,並圈上正確描述。
(答案在另文)
(1) 在街上張貼街招,披露某人的香港身分證副本 (ˇ/ X)
(2) 在某人不知情下,在社交媒體發布某人的個人相片和姓名 (ˇ/X)
(3) 公開某人的車牌號碼及登記資料令其車輛遭受惡意疰a (ˇ/ X)
(本刊發表的文章若提出批評,旨在指出相關制度、政策或措施存在錯誤或缺點,目的是促使矯正或消除這些錯誤或缺點,循合法途徑予以改善,絕無意圖煽動他人對政府或其他社群產生憎恨、不滿或敵意。)
[公民學堂 第052期]
議題close-up:中學生藉長跑學堅毅領悟人生意義
【明報專訊】訪問當天,東華三院黃鳳翎中學6名長跑小組的同學樣子精神爽利,隊員開朗地跟隨隊長胡鈺琪在球場上做熱身運動,為訪問拍攝做足準備。在這... 詳情
