個人資料私隱專員公署9日早發表2022年工作報告,指去年收到3848宗投訴,比前年的3534宗上升15%,主要是由於《2021年個人資料(私隱)(修訂)條例》下打擊「起底」新條文自前年年底生效後,相關投訴個案有所增加。
個人資料私隱專員公署表示,完成對香港銀行學會一宗資料外洩事故的調查,認為學會在資料保安風險管理及個人資料保安措施方面存在明顯不足,導致伺服器遭勒索軟件攻擊,逾1.3萬名會員及約10萬名非會員的個人資料外洩,除了姓名、聯絡資料、僱主名稱及職位外,部分人士的身份證號碼、信用卡號碼、專業認證詳情及考試結果亦受影響。
點擊看圖輯
首宗新「起底」法例下的判刑案件被告何牧華(中間白衫者) (資料圖片)
個人資料私隱專員鍾麗玲 (資料圖片)
個人資料私隱專員公署高級個人資料主任盧廸凡 (資料圖片)
私隱專員公署網頁圖片
首宗新「起底」法例下的判刑案件被告何牧華(中間白衫者) (資料圖片)
調查源於學會向公署通報資料外洩事故,指名下6台載有個人資料的伺服器遭勒索軟件攻擊及惡意加密,一名黑客威脅學會將伺服器內的檔案上載至互聯網,並要求學會支付贖金解鎖已加密的檔案。
公署認為,學會欠缺有效的資料保安風險管理機制,在保養關鍵的網絡設備上對服務提供者採取寬鬆態度,導致載有個人資料的資訊系統的保安措施無法有效應對網絡安全風險和威脅,違反了《私隱條例》保障資料第 4(1)原則有關個人資料保安的規定,私隱專員已向學會送達執行通知,指示學會糾正以及防止有關違規情況再發生。
個人資料私隱專員鍾麗玲 (資料圖片)
署理首席個人資料主任(合規及查詢)郭正熙表示,2021及2022年向公署通報的資料外洩事故中,約3成屬黑客入侵事故,受影響市民由約60萬增至逾100萬。公署已於去年8月發出《資訊及通訊科技的資料保安措施指引》,9日再出版濃縮版單張,主要對象為資料使用者,特別是中小企。
另外,「起底刑事化」條文生效日至去年12月31日,公署合共處理2128宗「起底」個案,期間就114宗展開刑事調查,32宗轉介予警方繼續跟進。拘捕行動方面,截至同日,公署展開共12次拘捕行動,12人被捕,一半「起底」原要為金錢糾紛,其次是工作糾紛。已有5人被落案起訴,2人被裁定罪名成立,其中1人已被判處8個月即時監禁。
個人資料私隱專員公署高級個人資料主任盧廸凡 (資料圖片)
個人資料私隱專員鍾麗玲指,公署去年接獲14929宗公眾查詢個案,按年下跌15%,28%為收集及使用個人資料,各有8%屬《私隱條例》的應用及處理與僱傭關係相關的個人資訊私隱,7%為公署處理投訴的政策。其中707宗有關套取市民個人資料作詐騙用途的查詢,較前年的557宗增加26%。
資料外洩事故增加 約3成屬黑客入侵
資料外洩事故通報則有105宗,41宗來自公營機構及64宗來自私營機構,涉及黑客入侵、遺失文件或便攜式裝置、經電郵或郵件意外披露個人資料、僱員違規及系統錯誤設定等。公署進行了392次循規審查,較前年的377次增加4%。
私隱專員公署網頁圖片
