私隱專員鍾麗玲表示,事故是由於消委會的缺失所致,沒有採取所有切實可行的步驟以確保個人資料受保障,違反了私隱條例的規定。
資料圖片
個人資料私隱專員公署完成有關消委會資料外洩事故的調查,私隱專員鍾麗玲表示,事故是由於消委會的缺失所致,沒有採取所有切實可行的步驟以確保個人資料受保障,違反了私隱條例的規定。她已向消委會送達執行通知,指示消委會糾正及防止類似違規情況再發生。
鍾麗玲指出,消委會的缺失包括沒有為遠端存取資料啟用多重認證功能、沒有妥善設定用作偵測及攔截網路安全威脅的軟件、欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料、資訊保安政策有欠全面及具體,以及保障個人資料私隱及網絡安全意識不足。
資料圖片(圖片來源:星島日報)
私隱專員公署提出多項建議,以減低資訊系統被攻擊的風險,包括對遙距登入資訊及通訊系統使用多重身份驗證、設定穩健的網路保安框架、定期對資訊系統進行風險評估及保安審計、建立重視數據安全的企業文化及建立有效的培訓計劃,加強員工對資料私隱的意識和能力。
公署說,消委會資料外洩事故涉及超過450人,包括投訴人、資訊科技服務供應商員工,以及消委會現職和前員工的個人資料。消委會去年9月曾交代,電腦系統遭黑客入侵,被勒索50萬至70萬美元贖金,現職員工、前員工、家屬、《選擇》月刊訂購戶及投訴人等的資料可能外洩。
消委會檢視本港使用量較多的5款垃圾電話攔截程式,發現兩款在取得存取權限後,會將用戶通訊錄中所有聯絡人的資料上載資料庫中,供其他用戶搜索,個人資料可能被人一覽無遺。
消委會檢視本港使用量較多的5款垃圾電話攔截程式。(消委會)
消委會表示,其中一款程式在存取用戶通訊錄後,會自動將所有聯絡人的資料上載和整合到商戶的資料庫內,供其他用戶「反向搜索」,只需輸入電話號碼,即可追溯到號碼持有人的名字及查閱其個人資料。如果有用戶在通訊錄中儲存了親友的電話號碼,而在使用該程式時同意被讀取通訊錄,即使這些親友本身從未下載或批准該程式使用其個人資料,資料亦會被取用和上載。另一款程式同樣會以類似方式取用及上載用戶的通訊錄,但只限於在程式官方網站下載檔案(如APK檔)及安裝程式,並啟用「強化搜尋」功能才會出現相關情況。
消委會檢視本港使用量較多的5款垃圾電話攔截程式。(消委會)
另外,一款程式在個人資料保存期限屆滿後,或仍將原本理應已銷毀的用戶資料存放於備份系統中。
消委會又發現,有兩款程式規定用戶必須註冊帳戶方能使用,另有1款的Android版本亦有同樣要求。用戶一般可選擇以電郵地址、電話號碼或登入Facebook或Google等第三方帳戶進行註冊。若選擇透過Facebook註冊,當中一款程式會索取多達8項個人資料,包括姓名、個人頭像、電郵地址、出生日期、相片、影片、朋友名單以及生活時報連結。
消委會建議消費者,在下載和使用攔截程式前,務必仔細閱讀服務條款及私隱政策,並應留意程式所索取的權限是否合理,小心選用攔截程式。
消委會檢視本港使用量較多的5款垃圾電話攔截程式。(消委會)
