個人資料私隱專員調查報告指出,網上拍賣平台Carousell因保安漏洞,導致260萬名全球用戶個人資料外洩,包括32萬名香港用戶。
資料圖片(圖片來源:星島日報)
公署已向Carousell發出執行通知,私隱專員鍾麗玲在港台節目《千禧年代》表示,現時如果違反執行通知屬刑事罪行,最高罰則為罰款5萬元、監禁兩年。她建議應提高所有罰則,加大阻嚇性,並建議引入行政罰款機制,如有違反個人資料私隱條例個案,公署可直接罰款。
公署亦建議引入強制性通報,要求出現洩漏私隱事故的機構必須通報。鍾麗玲表示,政府會一籃子考慮修例建議,再諮詢立法會,到時亦會考慮商界意見,同時平衡資料外洩事故有上升趨勢。
私隱專員鍾麗玲 (資料圖片)(圖片來源:星島日報)
Carousell去年向公署通報事件,公署一年多後完成調查報告,鍾麗玲表示,調查要有程序,但同意有空間再加快。她解釋,曾五次向平台查詢,對方亦聘請資訊顧問公司作獨立評估,公署要等待相關報告,亦有資料要再澄清,因此花了些時間。公署今年10月完成調查,草擬報告後,根據程序公義,亦要送到受查公司評論,公署再檢視是否接納。
香港兆基創意書院及香港專業進修學校去年分別發生涉及黑客入侵的資料外洩事故,私隱專員公署完成視察兩間教育機構的個人資料系統。私隱專員認為整體來說,兩間教育機構在處理學生及教職員的個人資料方面,符合《私隱條例》附表有關資料保安的規定。
個人資料私隱專員公署(圖片來源:星島日報)
視察結果顯示,兆基書院在資訊系統遭黑客入侵後,已採取多項技術性措施以加強資訊系統的保安,包括建立修補程式的管理程序、為帳戶的虛擬私人網絡(VPN)登入啟用雙重認證功能及設定高強度密碼。在存取管控方面,兆基書院採用「最小權限」及「角色為本」的存取管控機制。
私隱專員建議兆基書院,在資訊保安及資料保留方面制定更詳細及具體的政策、提升資訊系統的偵測措施,以及加強對資料處理者在妥善銷毀其所持有的個人資料方面的管理與監督。
香港兆基創意書院去年發生涉及黑客入侵的資料外洩事故。 香港兆基創意書院圖片
公署表示,港專在事故發生後,已採取多項技術性措施以加強資訊系統的保安及偵測能力,並已落實建立個人資料私隱管理系統,委任專責人員擔任保障資料主任,以及為員工提供有關保障個人資料的培訓及資訊,提高員工網絡安全及防範可疑電郵的意識。
私隱專員建議港專,制定更全面及具體的資訊保安政策及資料保留政策、加強檢視載有個人資料的資訊系統紀錄,以及對資訊系統定期進行保安審計,以進一步保障所持有的個人資料。
