政府科技局去年12月14日进行的安全评估还发现,Bizfile平台信息技术承包商刚开始并未充分落实安全功能,包括限制搜索范围。这些安全问题已在12月28日重启时解决,企管局仍在与承包商跟进,考虑后续行动。
延伸阅读
检讨报告指出,数码部原计划针对现有较复杂的应用场景,提供更详尽的政策指导。这项措施也应延伸至公共登记处等新的复杂应用场景,以协助各机构了解如何停止使用局部身份证号码,并判断是否必须使用完整的身份证号码。
身份证号码事件中,会计与企业管制局(ACRA)和数码发展及新闻部都存在缺失,但没有证据显示有人员刻意不作为或做出不当行为。
政府随后成立由公务员首长叶成昌领导的检讨小组,探讨事件起因、相关身份证号码使用政策,以及如何从中学习。检讨报告星期一(3日)发布,列出引起事件的六大缺失,以及事后采取的行动。
检讨小组也认为,数码部和企管局在公众表达顾虑的当下,应更迅速地采取行动,查明事件发生的关键信息,以及暂停查询功能。
检讨小组经过调查后列出六大缺失,公共服务署、数码部和企管局将进行检讨,涉事领导和人员的表现评估和绩效奖励将受影响。
检讨报告指出,双方都出现可避免的缺失。这包括数码部去年7月发出内部通知,要求公共机构停止使用身份证号码作为身份验证,以及在新业务流程和数码产品中不再使用局部隐藏身份证号码时,应该更清楚地沟通政策。
总理黄循财已同意公开发布检讨报告,并在国会进行讨论。
此外,数码部举办说明会解释内部通知的内容时,出席的企管局人员并没有把说明会资料和问答文件转发给Bizfile项目领导人和企管局高管,导致企管局在信息不完整的情况下,决定公开完整身份证号码。
企管局去年12月9日推出的新Bizfile平台,一度允许公众通过查找名字免费获取相关人士的身份证号码,引发担忧。查找功能四天后暂停,重启之后在免费查询阶段,不再显示任何身份证号码。
数码部和企管局当时都没有意识到,企管局人员误以为新开发的Bizfile平台必须停用局部隐藏身份证号码,改用完整身份证号码,但实际上该平台的查询功能属于现有功能,无须马上停用。
公开完整身份证号码是为了提高企业透明度,但许多人仍认为,身份证数据是敏感数据,不能轻易泄露。企管局也没有预先评估如何平衡两项公共利益,违反政府信息通信技术与智能系统管理指导手册(Instruction Manual on Information Communications Technology & Smart Systems Management)。
数码部以及企管局和财政部星期一都发文告,接受检讨报告的结果和建议,并再次为疏失所引起的公共焦虑和担忧致歉。“在这次事件中,公共服务部门并没有达到我们为自己设下的标准。”
数码部和企管局都已彻底审查涉事领导和人员的行为和责任,并会对他们采取行动。这包括辅导、额外培训,以及重新评估他们的表现,这可能影响他们的薪酬。
国务资政兼国家安全统筹部长张志贤星期四(3月6日)将在国会就事件检讨报告,发表部长声明。他也是主管智慧国工作团以及数码政府和公共领域数据的部长。
