管理多間時裝及美容品牌的俊思集團於去年5月外泄逾12.7萬會員資料，並遭黑客勒索。私隱專員公署調查後認為，事件涉人為疏忽，主因包括未有在修復系統故障後適時刪除臨時帳戶、使用已被停止支援的操作系統等。公署裁定俊思違反《私隱條例》，須於兩個月內採取措施糾正違規事項。

俊思集團去年5月外泄逾12.7萬人士資料，包括約10萬名ICARD會員、約2.7萬名Brooks Brothers會員、14名俊思現職僱員及前僱員等。被泄漏的資料有，括會員姓名、電郵地址、電話號碼、出生月份、性别及國籍，以及僱員的護照副本等。

私隱專員公署今日（31日）公布事件調查結果。調查發現，俊思去年4月在防火牆設立臨時用戶帳戶，沒即時刪除。黑客5月以該帳戶取得進入俊思網絡的訪問權限，並利用應用程式伺服器的保安漏洞，入侵網域控制器及其他載有個人資料的伺服器。調查顯示，約68GB的資料從俊思的網絡外泄，共涉及4台伺服器及5個系統帳戶。

公署指，俊思有4大缺失導致是次外泄事件，包括未有在修復系統故障後適時刪除臨時帳戶、使用已被終止支援的操作系統、資訊系統欠缺有效的偵測措施以及對資訊系統進行的保安風險評估及審計不足。

公署認為，假如俊思於事發前及時刪除相關帳戶，及停止使用已終止支援的操作系統，是次外泄事件可以避免。私隱專員基於俊思疏忽及欠缺保安措施，裁定俊思違反《私隱條例》有關個人資料保安的規定。