政府接連發生個人私隱外洩事故,公司註冊處日前(3日)公布,電子查冊系統 11 萬個人資料外洩,涉事承辦商為國企「航天信息股份有限公司」(下稱航天)。公司註冊處回覆《集誌社》,稱檢視合約條款後會考慮採取跟進。而由航天開發、合約總值逾五億的康體通 SmartPlay 系統,去年底同被揭有外洩資料漏洞。
翻查資料,航天近五年共投得至少 13 份港府標書,總值 41.8 億港元;包括三份入境處合約,其中一份為開發網上簽證和婚姻及生死登記服務項目等,項目審議時曾有立法會議員擔憂有資料洩漏風險。公司今年 2 月另以逾 30 億元投得商經局「貿易單一窗口」項目合約。航天信息接連出現洩私隱問題,有關部門會否檢視相關風險和合約?入境處回覆指,項目過去無資料外洩呈報,已全面檢視相關系統,無發現資料外洩風險;商經局則指承辦商現階段未接觸個人資料,已要求對方提優化方案免資料外洩。
公司註冊處電子查冊系統上月 19 日出現個人資料外洩風險,事隔兩周、即本月三日,才公布有 11 萬私隱外洩,個人資料包括姓名、身份證號碼、護照號碼、通常住址等。處方指調查發現承辦商在設計系統時,除提供查冊資料,還將額外個人資料傳輸到客戶端電腦,查冊者利用開發者工具或透過編寫程式查閱資料,便會取得額外個人資料。
國企航天信息為承辦商 合約值 6.22 億
公司註冊處確認,國企「航天信息股份有限公司」為系統承辦商,稱處方檢視合約條款後,會考慮採取跟進行動。根據航天信息 2018 年公告,該公司以 6.22 億港元投得「新一代公司註冊處綜合資訊系統項目」合約,全面更新系統,運用人工智能和大數據技術改進功能,加入移動電子服務等功能。
航天信息早有外洩資料前科。康文署在 2020 年斥資五億元開發 SmartPLAY 康體通系統,由航天承辦,2023 年底推出後即被揭發有漏洞。用戶透過程式預訂球場時,填寫團隊成員一欄中,隨意輸入他人別名、即會顯示使用有關別名作帳號的用戶中文或英文全名。康文署其後要求航天修改程式。
母公司遭美制裁 商務部批打壓
航天信息是中國航天科工集團旗下公司,為國務院國資委的「創建世界一流專業領軍示範企業」。2020 年底,美方公告制裁「與解放軍有關聯公司」,當中包括航天科工。到 2022 年一月,美方再制裁集團第四研究院,指其參與飛彈技術擴散;中國商務部當時表達強烈不滿,形容美方以「莫須有」理由打壓中國企業。
綜合航天信息網頁、物流署系統,以及資科辦公告,航天信息自 2019 年至今共投得至少 13 份政府項目,價值共約 41.8 億元。
公司公告顯示,今年三月航天董事長馬天暉等拜訪中聯辦、法援署、警務處、公務員事務局等部門;去年八月,馬天暉曾拜訪入境處,「慰問」入境處「APPLIES-2」項目全員,指項目技術要求高、難度大。翻查資料,「APPLIES-2」是「新一代個案簡易處理系統」,系統可於網上提交人才入境計劃簽證申請。
根據航天官網公告,公司今年三月拜訪中聯辦,與警務處等部門「座談交流」。(航天信息官網圖片)
商經局年初向航天批 30 億元合約 已要求提出優化方案
航天近年最高金額的一份政府合約,是今年二月,商務及經濟發展局批出 30.1 億元合約,設計與供應「貿易單一窗口第三階段」項目。公司二月底在官網公布奪得合同,形容項目是公司「實施新戰略以來,在境外地區中標金額最大的數字政府項目」,對公司「拓展國際化市場」有重要作用。
商經局回覆稱合約批予航天信息及 Varmeego 的合營公司,系統開發工作仍在初步階段,承辦商現階段不需接觸用戶個人資料;局方已要求承辦商提出優化方案,避免資料外洩事故發生。局方又合約條款明確要求承辦商遵守有關法例、指引和程序,會密切監督表現和實施情況。
入境處項目涵簽證、生死、婚姻登記系統
在航天近五年 13 份政府項目中,三份涉及入境處,包括 2019 年以 2.8 億元投得「新一代個案簡易處理系統」;2022 年底 以 850 萬元投得設計及供應系統支援永久數據中心;今年 2 月再以 4450 萬元,設計與供應機場二號客運大樓出入境管制系統。
翻查資料,入境處在 2018 年向立法會申請撥款約 4.53 億元,開發「新一代個案簡易處理系統」。當時有立法會議員擔憂會有流失資料風險,處方強調會「百分百確保無誤」。新系統服務包括提供電子處理旅客或港人簽證、生死及婚姻登記、在外遇事港人求助等;旅客出入境檢查時,「出入境管制系統」可隨時查閱 「新一代個案簡易處理系統」中簽證資料。
公司公告指公司董事長馬天暉在去年8月往入境處,慰問在現場工作的「新一代個案簡易處理系統」項目組員。(航天信息網站圖片)
入境處:全面檢視後無外洩風險
撥款申請的財委會文件提到,舊有系統自推出以來未有洩漏資料個案,入境處在實施新系統時將評估私隱影響;處方當時又指,推出系統後會進行私隱循規審核,委聘獨立的審計人員,在不同階段進行資訊科技保安風險評估及保安審計。
《集誌社》向入境處查詢,公司註冊處外洩事故後,會否檢視與航天信息合約,以及全面檢查系統?入境處回覆指,項目過去沒接獲資料外洩事故呈報,未來投標項目會按照物流署訂立的採購機制招標。處方又指按資科辦早前向各決策局及部門首長發出指示,已要求部門全面檢視現有資訊保安措施,入境處已全面檢視相關系統,無發現任何資料外洩風險。
開發公務員事務局招聘資訊、電子請假系統
至於公務員事務局,則透過資科辦「優質資訊科技專業服務常備承辦協議 5 」(《協議》,向航天信息批出約 922 萬元的維護與支援電子請假系統、1000 萬元研究與發展政府人力資源數據平台、300 萬元發展文書及秘書職系招聘資訊系統。
公務員事務局回覆指,有關電子處理假期申請系統為保養及支援服務,承辦商工作不涉及處理系統內個人資料;其他項目仍在開發,現無儲存個人資料。該局指聘用承辦商設計及推行各系統時,嚴守政府採購規則及資訊保安指引,實施資訊科技安全措施;亦會委任獨立第三方,在系統推行前後進行資訊保安風險評估及審計,局方會密切監察承辦商的工作。
資科辦《協議》設有承辦商表現監察制度,有機制暫停表現不達標承辦商競投新報價邀請,直至表現改善。資科辦回覆查詢時表示,由於公司註冊處系統項目,由該處公開招標、而非資科辦《協議》下項目,故《協議》內承辦商表現監察制度並不適用。資科辦又指已向決策局及部門首長發指示,要求全面檢視資訊保安,並提醒其系統和用戶,按指引處理敏感及個人資料,不可儲存於公有雲平台上。
集誌社檔案:消防處資料外洩 承辦商即停賽
消防處五月六日公布外洩風險事故,指日前(3日)發現電腦系統內部分個人資料有潛在外洩風險,但未有證據相關資料被公開;初步調查相信因外判承辦商處理資料轉移時,有人擅改資料的讀取權限。
事件涉及約 480 名市民,他們在去年九月超強颱風蘇拉吹襲時,曾報告塌樹,資料包括其姓氏及電話號碼;另涉及約 5,000 名處方屬員資料,包括姓名、電話號碼、職級與編號,及駐守崗位,當中亦涉及約 960 名屬員的不完整身份證號碼。處方昨稱已立即聯絡系統的外判承辦商,要求即時停止系統運作及承辦商的所有合約工作,撤回其系統登入權限以防資料外洩。
《集誌社》向消防處查詢,承辦商及項目資料、為何即時停止對方合約?處方稱為確保資料不會有進一步外洩風險,決定即時停止相關承辦商所有合約工作,而由於警方正調查事件,未能提供進一步資料。
