樂施會去年資料外洩私隱公署裁定違反私隱條例已指示糾正

社會事

2025年01月23日 11:53 最後更新：12:43

私隱專員公署公布樂施會資料外洩事故的調查結果，黑客於去年7月10日在樂施會的資訊系統設置勒索軟件，導致儲存在系統內的檔案及資料被加密及竊取，令樂施會超過330GB的數據被竊取，可能受影響的人數約為55萬，包括捐款者、義工、僱員、求職者等，涉及的個人資料包括姓名、身份證號碼、地址、信用卡號碼等。

公署認為樂施會過時的防火牆存在嚴重漏洞、未有啟用多重認證、沒有對伺服器進行保安修補等，均是導致外洩事故發生的主因，裁定違反《私隱條例》，並已向樂施會送達執行通知，指示採取措施糾正。

另外，私隱專員公署總結工作，去年接獲203宗資料外洩事故，較前年增加近3成，當中67宗來自公營機構、136宗來自私營機構。外洩事故涉及黑客入侵、遺失文件或便攜式裝置、系統錯誤設定等，當中黑客入侵導致資料外洩的事故有61宗，與前年的64宗相若。

公署去年共處理442宗「起底」個案，較前年的756宗大減超過4成，「起底」原因主要為金錢糾紛、家人及感情糾紛等。公署同期共向20個網上平台發出194個停止披露通知，涉及約5300個「起底」訊息，遵從率超過96%。公署亦就118宗個案展開刑事調查，並將40宗轉介警方跟進，共拘捕20人。

投訴個案方面，公署在去年收到超過3400宗，較對上一年的3500多宗下跌約4%，當中約9成投訴個案涉及私營機構或個別人士。另外公署去年共接獲1158宗與懷疑誘騙個人資料相關的查詢，較對上一年約800宗，增加46%。

香港兆基創意書院及香港專業進修學校去年分別發生涉及黑客入侵的資料外洩事故，私隱專員公署完成視察兩間教育機構的個人資料系統。私隱專員認為整體來說，兩間教育機構在處理學生及教職員的個人資料方面，符合《私隱條例》附表有關資料保安的規定。

視察結果顯示，兆基書院在資訊系統遭黑客入侵後，已採取多項技術性措施以加強資訊系統的保安，包括建立修補程式的管理程序、為帳戶的虛擬私人網絡（VPN）登入啟用雙重認證功能及設定高強度密碼。在存取管控方面，兆基書院採用「最小權限」及「角色為本」的存取管控機制。

私隱專員建議兆基書院，在資訊保安及資料保留方面制定更詳細及具體的政策、提升資訊系統的偵測措施，以及加強對資料處理者在妥善銷毀其所持有的個人資料方面的管理與監督。

公署表示，港專在事故發生後，已採取多項技術性措施以加強資訊系統的保安及偵測能力，並已落實建立個人資料私隱管理系統，委任專責人員擔任保障資料主任，以及為員工提供有關保障個人資料的培訓及資訊，提高員工網絡安全及防範可疑電郵的意識。

私隱專員建議港專，制定更全面及具體的資訊保安政策及資料保留政策、加強檢視載有個人資料的資訊系統紀錄，以及對資訊系統定期進行保安審計，以進一步保障所持有的個人資料。

你或有興趣的文章

社會事