私隱公署發表兩宗零售商資料外洩事故報告 有受影響資料被販賣圖利

個人資料私隱專員公署發表兩份個人資料外洩事故調查報告，分別涉及珠寶公司和服裝公司，違反《個人資料（私隱）條例》的相關規定。

個人資料私隱專員公署發表兩份個人資料外洩事故調查報告。FB圖片

其中一宗個案，涉及一家珠寶公司及其母公司共用的資訊系統資料在去年11月遭受黑客盜取及刪除，受影響資料包括兩家公司的客戶、現職及離職員工的個人資料，受影響的資料當事人約79400名，其中超過75000名屬公司客戶。事故中，黑客透過暴力攻擊，取得一個靜止超過13年、具系統管理員權限的帳戶，並於一台用於內部開發及編程的桌上電腦注入木馬程式。

另外一宗個案涉及一家總公司是日本跨國企業的服裝公司，其客戶關係管理平台及電子商務平台於去年11月遭受未獲授權的第三方入侵。事故中，黑客利用一名現職員工的管理帳戶的憑證，從一個不明的海外IP位址連接並下載當中的訂單資料，外洩的個人資料牽涉59205名客戶。個人資料私隱專員鍾麗玲表示，在外洩事故發生約兩個月後，受影響的個人資料被不法之徒在「暗網」公開並可下載，亦有證據顯示資料被用作詐騙用途。

設計圖片

鍾麗玲表示，兩宗個案均涉及持有大量客戶個人資料的零售公司，其中一宗個案的受影響資料更被販賣圖利。她提醒機構應該投放足夠的資源保障所持有的個人資料，採取合適的措施保障載有個人資料的系統，包括停用已被終止支援的軟件、加強資訊系統的密碼管理，以及定期為資訊系統進行全面保安風險評估及審計等。

香港兆基創意書院及香港專業進修學校去年分別發生涉及黑客入侵的資料外洩事故，私隱專員公署完成視察兩間教育機構的個人資料系統。私隱專員認為整體來說，兩間教育機構在處理學生及教職員的個人資料方面，符合《私隱條例》附表有關資料保安的規定。

個人資料私隱專員公署(圖片來源:星島日報)

視察結果顯示，兆基書院在資訊系統遭黑客入侵後，已採取多項技術性措施以加強資訊系統的保安，包括建立修補程式的管理程序、為帳戶的虛擬私人網絡（VPN）登入啟用雙重認證功能及設定高強度密碼。在存取管控方面，兆基書院採用「最小權限」及「角色為本」的存取管控機制。

私隱專員建議兆基書院，在資訊保安及資料保留方面制定更詳細及具體的政策、提升資訊系統的偵測措施，以及加強對資料處理者在妥善銷毀其所持有的個人資料方面的管理與監督。

香港兆基創意書院去年發生涉及黑客入侵的資料外洩事故。 香港兆基創意書院圖片

公署表示，港專在事故發生後，已採取多項技術性措施以加強資訊系統的保安及偵測能力，並已落實建立個人資料私隱管理系統，委任專責人員擔任保障資料主任，以及為員工提供有關保障個人資料的培訓及資訊，提高員工網絡安全及防範可疑電郵的意識。

私隱專員建議港專，制定更全面及具體的資訊保安政策及資料保留政策、加強檢視載有個人資料的資訊系統紀錄，以及對資訊系統定期進行保安審計，以進一步保障所持有的個人資料。