涉事資料庫因人為疏忽而被保留下來
個人資料私隱專員黃繼兒就香港寛頻去年4月中旬發生客戶資料庫遭入侵,導致近38 萬名客戶及服務申請者的個人資料外洩事件展開調查,發表調查報告。基於調查發現,香港寬頻在個人資料保留、刪除等方面違反了有關規定,私隱專員決定向香港寬頻送達執行通知,以糾正違規情況及防止事故重演。
香港寬頻行政總裁楊主光去年就38萬名客戶的資料外洩道歉。資料圖片
調查發現, 涉事資料庫本應在 2012 年完成系統遷移後被刪除,卻因人為疏忽而被保留下來,並繼續連接內部網絡。 公司遺忘了涉事資料庫的存在,期間亦沒有更新資料庫的修補程式及將資料作加密處理; 公司在系統遷移後沒有作全面及審慎的檢查,以致未有適時刪除涉事資料庫; 公司在事發前沒有仔細考量舊客戶個人資料的保留期限和制定資料保留的內部指引,以及保留舊客戶的資料時間過長。
私隱專員認為,香港寬頻沒有採取所有切實可行的步驟,刪除已不再需要的涉事資料庫,加上保留舊客戶的個人資料時間過長,因而違反《私隱條例》第26(資料刪除)和《私隱條例》附表 1 的保障資料第 2(2)原則(資料保留)。私隱專員送達執行通知,以糾正及防止違規情況。
私隱專員指令公司, 制定清晰的程序,訂明系統遷移後,刪除不再需要的資料庫內的個人資料的步驟、時限和監察措施;制定清晰的資料保留政策,訂明客戶及服務申請者個人資料的保留期限,不得超過將其保存,以貫徹該資料被使用於或會被使用於的目的所需的時間;制定清晰的資料保安政策,訂明定期檢視用戶權限及遠程接達服務的保安措施;實施有效的措施,確保有關員工知悉和執行上述政策及程序;根據制訂的資料保留政策,刪除所有超過保留期限的客戶及服務申請者的個人資料。
