香港寬頻去年洩38萬客戶資料　私隱公署判違《私隱條例》通知糾正

香港寬頻去年四月因伺服器被黑客入侵，近38名客戶個人資料外洩。香港個人資料私隱專員公署今日公布調查報告，指涉事資料庫本應在2012年停用並刪除，惟卻因「人為疏忽」而被保留下來，加上保留舊客戶的資料時間過長，做法違反有關《私隱條例》規定，已向公司送達執行通知，以糾正違規情況及防止事故重演。

近年不少資訊科技保安事故湧現，香港寬頻因黑客入侵伺服器而洩漏38萬名客戶資料，向公眾致歉。（資料圖片／盧翊銘攝）

私隱公署的報告揭示，事發時香港寬頻將客戶資料儲存在三個資料庫內，而遭黑客入侵的資料庫是一個已停用的資料庫，存有截至2012年客戶和服務申請者的個人資料，包括姓名、電郵地址、通訊地址、電話號碼、身份證號碼和信用卡資料。

報告指出，涉事資料庫本應在2012年完成系統遷移後被刪除，卻因「人為疏忽」而被保留下來，並繼續連接內部網絡。

而公司卻遺忘涉事資料庫的存在，期間亦沒有更新資料庫的修補程式及將資料作加密處理。香港寬頻在系統遷移後沒有作全面及審慎的檢查，以致未有適時刪除涉事資料庫。公司在事發前，並無仔細考量舊客戶個人資料的保留期限，制訂資料保留的內部指引，以致事發前保留舊客戶的資料時間過長。

私隱專員黃繼兒認為香港寬頻沒有採取所有切實可行的步驟，刪除已不再需要的涉事資料庫，加上保留舊客戶的個人資料時間過長，因而違反《私隱條例》第26條（資料刪除）和《私隱條例》附表1的保障資料第2(2)原則（資料保留）。

私隱專員已向香港寬頻送達執行通知，以糾正及防止違規情況，包括制定清晰的程序，訂明系統遷移後，刪除不再需要的資料庫內的個人資料的步驟、時限和監察措施，亦要訂明資料保留期限等，並確保有關員工知悉和執行上述政策及程序等。

現時私隱專員未獲授權判處罰款，不過，報告指，鑑於近年資料外洩事故頻生，加上留意到其他法定機關獲賦予行政罰款的職能和權力，認為社會應重新討論，是否應向違反《私隱條例》附表 1 的保障資料原則的資料使用者，判處行政罰款。