黑客入侵消委會｜私隱署收1宗投訴　籲所有機構定期評估保安漏洞

繼數碼港遭黑客入侵，消費者委員會亦遭黑客以勒索軟件惡意入侵，8成系統受到破壞，目前未能確認被盜走的數據內容。 黑客以勒索軟件入侵的事接二連三，與網絡安全有關的資料外洩引起關注，個人資料私隱專員鍾麗玲今午（22日）稱，對事件非常關注，譴責非法網絡攻擊行為，並且提醒所有機構不論公私營必須遵守個人資料私隱條例規定。就消委會遭入侵事件，鍾麗玲指現時只有初步資料，要待日後有更多資料，才能評論有否違規。

鍾麗玲建議，所有持有個人資料機構定期進行資料保安風險評估，並提醒所有機構、不論公私營機構亦要防患未然，增強對網絡安全的意識，審視其數據保安系統，亦要採取相應措施加強數據安全，防範資訊系統受到惡意攻擊，如採取防火牆、反惡意軟件等、定期對資訊系統進行保安漏洞評估以及滲透測試等。就消委會事件，她指現時只有初步資料，要待日後有更多資料，才能評論消委會有否違規、或會否展開調查。

譴責非法網絡攻擊行為然　鍾麗玲：如資料外洩應盡快通報公署

私隱專員鍾麗玲今午譴責非法網絡攻擊行為，並且提醒所有機構不論公私營必須遵守個人資料私隱條例規定。

鍾麗玲指，個人資料私隱專員公署於去年8月推出資訊及通訊科技的保安措施指引，內裡已羅列一系列資訊與通訊系統的保安措施供大眾參考。署方在今年亦推出資料外洩事故處理以及通報的指引，建議機構如發生資料外洩的事故，應該要在切實可行的情況下，盡快通報公署，並盡快通知受影響人士。

鍾麗玲指，作為資料使用者，每一個機構也有責任確保資料安全在，在私隱條例下已定明，資料使用者要使用所有切實可行的步驟，以確保數據安全，且不會在不獲授權、或意外情況下遭查閱或使用。

她表示，當然不希望資料外洩事故發生，但在發生之後，也建議機構應該要盡快通知公署，以便為機構發受影響人士提供協助。她指出，很多時會有受影響人士到私隱公署查詢、甚或投訴，公署會視乎情況啟動調查，又或進一步發表調查報告、發出執行通知要求機構跟進違規地方等。

就消委會事件，她指現時只有初步資料，要待日後有更多資料，才能評論消委會有否違規、或會否展開調查。

就消委會保留應聘者資料七年，鍾麗玲指，私隱專員公署曾發出人力資源個人資料保存期限的指引，表面看來消委會做法是符合指引建議。至於是否需要調整期限，她指這些指引不時會更新，署方也會審視有關情況及法律才作決定。

就數碼港事件，鍾麗玲表示公署收到24宗投訴、52宗查詢；就消委會的事件，則收到1宗投訴、8宗查詢。

被問到除數碼港及消委會，有沒有收到其他機構遭黑客入侵、資料外洩的通報，她指不時收到這類通報，但基於保密原因不便披露，但她指有些通報已在調查，只是盡早向公署備案，也有些個案的影響的規模較小。