香港銀行學會外洩逾11萬人資料 私隱專員公署指保安明顯不足、態度寬鬆
發佈時間:12:11 2023-02-09
個人資料私隱專員公署今早發表2022年工作報告,指去年收到3848宗投訴,比前年的3534宗上升15%,主要是由於《2021年個人資料(私隱)(修訂)條例》下打擊「起底」新條文自前年年底生效後,相關投訴個案有所增加。
個人資料私隱專員公署表示,完成對香港銀行學會一宗資料外洩事故的調查,認為學會在資料保安風險管理及個人資料保安措施方面存在明顯不足,導致伺服器遭勒索軟件攻擊,逾1.3萬名會員及約10萬名非會員的個人資料外洩,除了姓名、聯絡資料、僱主名稱及職位外,部分人士的身份證號碼、信用卡號碼、專業認證詳情及考試結果亦受影響。
調查源於學會向公署通報資料外洩事故,指名下6台載有個人資料的伺服器遭勒索軟件攻擊及惡意加密,一名黑客威脅學會將伺服器內的檔案上載至互聯網,並要求學會支付贖金解鎖已加密的檔案。
公署認為,學會欠缺有效的資料保安風險管理機制,在保養關鍵的網絡設備上對服務提供者採取寬鬆態度,導致載有個人資料的資訊系統的保安措施無法有效應對網絡安全風險和威脅,違反了《私隱條例〉保障資料第 4(1)原則有關個人資料保安的規定,私隱專員已向學會送達執行通知,指示學會糾正以及防止有關違規情況再發生。
署理首席個人資料主任(合規及查詢)郭正熙表示,2021及2022年向公署通報的資料外洩事故中,約3成屬黑客入侵事故,受影響市民由約60萬增至逾100萬。公署已於去年8月發出《資訊及通訊科技的資料保安措施指引》,今日再出版濃縮版單張,主要對象為資料使用者,特別是中小企。
另外,「起底刑事化」條文生效日至去年12月31日,公署合共處理2128宗「起底」個案,期間就114宗展開刑事調查,32宗轉介予警方繼續跟進。拘捕行動方面,截至同日,公署展開共12次拘捕行動,12人被捕,一半「起底」原要為金錢糾紛,其次是工作糾紛。已有5人被落案起訴,2人被裁定罪名成立,其中1人已被判處8個月即時監禁。
個人資料私隱專員鍾麗玲指,公署去年接獲14929宗公眾查詢個案,按年下跌15%,28%為收集及使用個人資料,各有8%屬《私隱條例》的應用及處理與僱傭關係相關的個人資訊私隱,7%為公署處理投訴的政策。其中707宗有關套取市民個人資料作詐騙用途的查詢,較前年的557宗增加26%。
資料外洩事故增加 約3成屬黑客入侵
資料外洩事故通報則有105宗,41宗來自公營機構及64宗來自私營機構,涉及黑客入侵、遺失文件或便攜式裝置、經電郵或郵件意外披露個人資料、僱員違規及系統錯誤設定等。公署進行了392次循規審查,較前年的377次增加4%。
私隱公署表示,完成對香港銀行學會一宗資料外洩事故的調查,認為學會在資料保安風險管理及個人資料保安措施方面存在明顯不足,導致伺服器遭勒索軟件攻擊,逾1.3萬名會員及約10萬名非會員的個人資料外洩,除了姓名、聯絡資料、僱主名稱及職位外,部分人士的身份證號碼、信用卡號碼、專業認證詳情及考試結果亦受影響。
去年傳封鎖Telegram 專員:未考慮進一步行動
去年曾傳出公署研究封鎖涉及不少起底訊息的應用程式Telegram,鍾麗玲表示不便評論個別平台,但如果任何平台有「起底」訊息,公署都會致力移除並發出通知書,避免繼續流傳網絡,對受害人構成持久及嚴重的影響。
回顧過去一年工作,她透露有頻道不止需要移除訊息,更要整個頻道移除,認為執法既然已經有效,未需要考慮進一步行動。她又認為,自「起底」條文生效後有關投訴上升屬正常現象,因條例賦予公署新權力,亦相信一系列推廣宣傳讓市民得知自身權益。她指,轉介予警方的個案不算多,有可能涉及其他罪行,例如不誠實使用電腦、詐騙、恐嚇等。
記者 黎倩彤
《星島頭條》APP經已推出最新版本,請立即更新,瀏覽更精彩內容:https://bit.ly/3yLrgYZ
