被網民爆料未銷毀受訪者資料 香港民研：不排除黑客入侵職員電腦系統

民研收到私隱專員公署來信要求解釋事件。

私隱專員公署。資料圖片

近日接連有人在網上聲稱，香港民意研究所早前完成民意調查後未有按規定，妥善銷毁過去的民調中受訪者的資料，又展示電郵截圖懷疑有關的受訪者個人資料已經外洩。私隱專員公署發信要求民研解釋事件，並了解當中是否有市民資料外洩。

香港民意研究所副行政總裁鍾劍華今承認，已收到私隱專員公署的來信。

香港民意研究所副行政總裁鍾劍華今承認，已收到署方來信，並會如實回答署方的提問，惟強調經過連番的檢查系統後，未有記錄發現黑客成功入侵系統，但不排除有些人或黑客入侵民研職員 、前職員或合作夥伴的電腦電郵系統，而電郵書信來往中夾附文件，他直言不能排除這些可能性。

香港民意研究所網頁圖片

他進一步解釋，當有人昨日在網上稱懷疑有受訪者的個人資料外洩，已經即時安排同事及科技資訊顧問檢查系統，結果發現經過昨日一日的檢查，得悉有人意圖衝入民研的系統，但是找不到任何證據證明網民聲稱的資料從他們的系統取得，亦無證據有人成功入侵他們的系統。

爆料貼文顯示大量受訪者的私隱資料，包括姓名、電話、電郵地址等。資料由本網打格。

至於網民昨日展示的資料及圖片，鍾劍華強調，相關資料已經不在他們的系統，並解釋研究計劃所搜集的數據及資料，會保留數據，至於可以辨識受訪者身份的資料不會保留超過6個月，反駁指這些資料一早已經刪除多年。他指已經加強系統的保安安全。

私隱專員公署公布數碼港資料外洩事故調查報告，指數碼港未有採取足夠和有效措施，保障資訊系統安全，也未有及時根據保留資料政策，刪除已屆保存期限的資料。

資料圖片(圖片來源:星島日報)

公署認為，數碼港未有採取切實可行步驟，確保涉事個人資料受保障和不受未獲准許或意外的查閱和處理等，以及確保資料保存時間，不超過使用資料實際所需時間，違反相關規定。

公署說，數碼港資訊系統欠缺有效偵測措施，導致未能有效偵測黑客以暴力攻擊資訊系統，令黑客能成功獲取具管理員權限的帳戶憑證，並進行勒索軟件攻擊和竊取儲存系統內的個人資料。

示意圖。設計圖片

公署說，數碼港沒有為遠端存取資料啟用多重認證功能、核實獲授權可遠端登入數碼港網絡的用户身分；又指對資訊系統進行的保安審計不足，未能適時應對資訊科技變化和網絡安全風險。

私隱專員鍾麗玲認為，數碼港是一間具規模的機構，恆常持有並處理大量不同人士的個人資料，持分者和公眾會合理期望數碼港投入足夠資源，確保系統和數據安全，因此底採取足夠保安措施。

私隱專員鍾麗玲。資料圖片

公署表示，私隱專員已向數碼港送達執行通知，指示糾正違反事項，又建議公司設立個人資料私隱管理系統，並委任保障資料主任，適時對系統進行風險評估，及適時刪除個人資料，防止類似違規再次發生。

資料圖片

數碼港去年向公署通報資料外洩事故，電腦系統和檔案伺服器被勒索軟件攻擊和惡意加密，事故導致超過13000人的個人資料外洩。