香港个人资料私隐专员（私隐专员）黄继儿就香港寛频网络有限公司（香港宽频）于2018年4月中旬发生客户资料库遭入侵而导致近38万名客户及服务申请者的个人资料外泄事件展开调查，并根据《个人资料（私隐）条例》（《私隐条例》）第48(2)条，在符合公众利益的情况下，于今天发表调查报告（报告）。基于调查发现香港宽频在个人资料保留、删除等方面违反了有关《私隐条例》的规定，私隐专员决定依据《私隐条例》第50(1)条，向香港宽频送达执行通知，以纠正违规情况及防止事故重演。

主要调查结果

报告指出，事发时香港宽频将客户资料储存在三个资料库内。遭黑客入侵的资料库是一个已停用的资料库（涉事资料库），存有截至2012年的客户和服务申请者的个人资料，包括姓名、电邮地址、通讯地址、电话号码、身份证号码和信用卡资料，受影响人数近38万。调查发现：

– 涉事资料库本应在2012年完成系统迁移后被删除，却因人为疏忽而被保留下来，并继续连接内部网络。香港宽频遗忘了涉事资料库的存在，期间亦没有更新资料库的修补程式及将资料作加密处理；

– 香港宽频在系统迁移后没有作全面及审慎的检查，以致未有适时删除涉事资料库；

– 香港宽频在事发前没有仔细考量旧客户个人资料的保留期限和制定资料保留的内部指引，以及保留旧客户的资料时间过长。

就调查所得和香港宽频所承认的事实，以及本个案的所有情况，私隐专员认为香港宽频没有采取所有切实可行的步骤删除已不再需要的涉事资料库，加上保留旧客户的个人资料时间过长，因而违反《私隐条例》第26条（资料删除）和《私隐条例》附表1的保障资料第2(2)原则（资料保留）。

私隐专员已向香港宽频送达执行通知，以纠正及防止违规情况。私隐专员指令香港宽频：

– 制定清晰的程序，订明系统迁移后删除不再需要的资料库内的个人资料的步骤、时限和监察措施；

– 制定清晰的资料保留政策，订明客户及服务申请者个人资料的保留期限，不得超过将其保存以贯彻该资料被使用于或会被使用于的目的所需的时间；

– 制定清晰的资料保安政策，订明定期检视用户权限及远程接达服务的保安措施；

– 实施有效的措施，确保有关员工知悉和执行上述政策及程序；及

– 根据制订的资料保留政策，删除所有超过保留期限的客户及服务申请者的个人资料。

私隐专员黄继儿在报告中指出，现时《私隐条例》并无强制机构在发生资料外洩事故后必须通报有关监管机构或资料当事人。尽管如此，香港宽频仍能在发现事故后尽快通报私隐专员及通知受影响的客户，并于事发后执行及承诺采纳纠正措施，此实属良好的举措。私隐专员同时指出机构应奉行问责原则，将数据管治和管理以至数据道德伦理（包括尊重 、互惠和公平）纳入企业管治之中，并从最高管理层做起，由上而下在机构内贯彻执行有关保障个人资料的政策。

报告可于公署网站下载：

https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/investigation_reports/files/PCPD_Investigation_Report_R19-5759_Chi.pdf

声明：本文来自香港個人資料私隱專員公署，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。