香港寬頻去年洩38萬客戶資料 私隱公署判違《私隱條例》通知糾正

撰文:
最後更新日期:

香港寬頻去年四月因伺服器被黑客入侵,近38名客戶個人資料外洩。香港個人資料私隱專員公署今日公布調查報告,指涉事資料庫本應在2012年停用並刪除,惟卻因「人為疏忽」而被保留下來,加上保留舊客戶的資料時間過長,做法違反有關《私隱條例》規定,已向公司送達執行通知,以糾正違規情況及防止事故重演。

近年不少資訊科技保安事故湧現,香港寬頻因黑客入侵伺服器而洩漏38萬名客戶資料,向公眾致歉。(資料圖片/盧翊銘攝)

私隱公署的報告揭示,事發時香港寬頻將客戶資料儲存在三個資料庫內,而遭黑客入侵的資料庫是一個已停用的資料庫,存有截至2012年客戶和服務申請者的個人資料,包括姓名、電郵地址、通訊地址、電話號碼、身份證號碼和信用卡資料。

人為疏忽保留已停用資料庫

報告指出,涉事資料庫本應在2012年完成系統遷移後被刪除,卻因「人為疏忽」而被保留下來,並繼續連接內部網絡。

而公司卻遺忘涉事資料庫的存在,期間亦沒有更新資料庫的修補程式及將資料作加密處理。香港寬頻在系統遷移後沒有作全面及審慎的檢查,以致未有適時刪除涉事資料庫。公司在事發前,並無仔細考量舊客戶個人資料的保留期限,制訂資料保留的內部指引,以致事發前保留舊客戶的資料時間過長。

私隱專員黃繼兒認為香港寬頻沒有採取所有切實可行的步驟,刪除已不再需要的涉事資料庫,加上保留舊客戶的個人資料時間過長,因而違反《私隱條例》第26條(資料刪除)和《私隱條例》附表1的保障資料第2(2)原則(資料保留)。

私隱專員已向香港寬頻送達執行通知,以糾正及防止違規情況,包括制定清晰的程序,訂明系統遷移後,刪除不再需要的資料庫內的個人資料的步驟、時限和監察措施,亦要訂明資料保留期限等,並確保有關員工知悉和執行上述政策及程序等。

應檢討向違規者判處行政罰款

現時私隱專員未獲授權判處罰款,不過,報告指,鑑於近年資料外洩事故頻生,加上留意到其他法定機關獲賦予行政罰款的職能和權力,認為社會應重新討論,是否應向違反《私隱條例》附表 1 的保障資料原則的資料使用者,判處行政罰款。



X
X
請使用下列任何一種瀏覽器瀏覽以達至最佳的用戶體驗:Google Chrome、Mozilla Firefox、Internet Explorer、Microsoft Edge 或Safari。為避免使用網頁時發生問題,請確保你的網頁瀏覽器已更新至最新版本。