數碼港洩個資被揭五宗罪
逾期保存資料缺有效偵測 私隱署勒令兩月內糾正
數碼港電腦系統去年8月遭國際黑客組織Trigona入侵,逾1.3萬人的個人資料遭外洩。個人資料私隱專員公署昨公布事故的調查報告,發現數碼港涉及五大缺失,違反私隱條例兩項原則,包括資料保留政策規定求職者資料只保存一年,但數碼港卻保留遠至2016年的求職者資料;數碼港保安審計頻率不足,亦欠缺有效偵測措施,逾一周才發現被黑客入侵。公署已指示數碼港兩個月內糾正,若再次違規將屬刑事罪行。
自稱Trigona的黑客組織去年入侵數碼港電腦系統,網絡保安系統卻一直未察覺,直至逾一周後接獲勒索訊息才發現,導致13,632人的個人資料被盜取,包括近8,000名與僱傭有關人士,並涉及5,292名求職者及已離職者的資料(姓名、身份證號碼或副本、銀行賬戶號碼、醫療報告等)。
公署昨公布事件調查報告。私隱專員鍾麗玲表示,事件由五項缺失導致(見表)。數碼港使用具規模的資訊系統儲存大量個人資料,卻僅依賴一款反惡意軟件,明顯不足夠及不成比例,而且數碼港也未有為遠端存取資料啟用多重認證功能,否則就可阻止黑客透過管理員賬戶遠端進入網絡。
經調查後,公署裁定數碼港在事件中違反私隱條例6項保障資料原則之中的兩項,包括未有確保個人資料保存時間不超過其使用目的所需時間;以及未確保其持有個人資料受保障而不受未獲准許或意外洩漏,被查閱、處理及刪除等。
她舉例說,數碼港的資料保留政策列明,求職者資料只會保存一年,但公署從接獲投訴及查詢發現,數碼港外洩的個人資料中,包括早於2016年的求職者資料,數碼港事後亦未能解釋保留資料的原因。此外,數碼港每兩年為資訊系統作保安審計,評估所有資訊系統有否漏洞,但事發前最近一次審計是2021年底,亦沒規定在其中一個受事件影響的系統啟用前,作風險評估或獨立保安審計,屬明顯缺失。
接近百查詢投訴 再次違規屬刑事
公署就事件共接獲65宗查詢及33宗投訴,私隱條例規定如資料當事人因機構違規而蒙受損失,可提出民事索償,但一切需視乎有無足夠證據。公署已對數碼港發出「執行通知」,要求兩個月內糾正所有漏洞,聘請獨立保安專家最少每年檢視系統,以及委任保障資料主任,適時對系統進行風險評估,及適時刪除個人資料。
雖然數碼港違反條例兩大原則,又造成逾萬人受影響,但只要數碼港按公署要求進行修正,無須受到處分;只有當數碼港再次違規,才屬刑事罪行。被問及條例是否無牙老虎?鍾麗玲表示,公署正與政府檢視修訂私隱條例,包括加強罰則及引入行政罰款。
數碼港昨回應表示,事後已迅速提升防範黑客攻擊的能力,採取多項措施包括鞏固網絡防護屏障,強化偵測網絡受攻擊及入侵的能力,並成功堵截後續網絡攻擊;並已由董事局成立專責小組,督導事件調查及跟進等工作,小組已完成有關工作,並已向私隱署提交調查報告。在資訊保安及數據管理方面,數碼港已加強多項措施,並承諾持續地落實及優化系統及數據安全的措施,及為已知和潛在受影響人士即時提供免費信貸監察服務及暗網身份監察服務。在涉事黑客的暗網瓦解後,監察服務仍維持生效。
