港去年資料外洩事故增近三成 私隱公署憂勢頭持續 揭樂施會七缺失令改正
個人資料私隱專員公署昨日發表去年工作報告,共接獲3,431宗投訴個案,按年輕微減少4%,約90%個案涉及投訴私營機構或個別人士;另有近10%涉及投訴公營機構或政府部門。公署去年亦接獲203宗資料外洩事故通報,按年大增29.3%,當中67宗來自公營機構。個人資料私隱專員鍾麗玲指出,30%資料外洩事故源於黑客入侵,她形容個人資料「有市有價」,預期今年的資料外洩事故仍有上升趨勢。公署同日亦公布樂施會去年一宗涉及55萬人的資料外洩事故的調查報告,批評樂施會存在七大缺失引致事件,違反了《私隱條例》。私隱專員已向樂施會送達執行通知,指示其採取措施以糾正違規事項,以及防止類似違規情況再次發生。 ●香港文匯報記者 費小燁
公署去年共接獲18,125宗公眾查詢個案,按年上升14%,有關收集及使用個人資料事宜佔27%最多,其次為公署的處理投訴政策(11%)、處理與僱傭關係相關的個人資料(6%)、查閱及改正個人資料(6%),以及安裝及使用閉路電視(5%)等。公署亦接獲1,158宗與懷疑誘騙個人資料相關的查詢,按年大幅增加46%。
遏止起底見效 個案減逾四成
公署去年亦處理了442宗起底個案,按年大幅減少42%,主要涉及金錢糾紛。鍾麗玲指出,自規管起底行為的相關條文於2021年10月8日生效以來,截至去年底公署合共處理了3,326宗起底個案,並向53個網上平台發出了2,072個停止披露通知,涉及33,687個起底訊息,遵從率超過96%,公署亦成功透過發出停止披露通知移除了250個用作起底的頻道。
公署同期亦就372宗個案展開刑事調查,並將103宗案件轉介予警方繼續跟進。公署合共拘捕了63人,期內已有41名被捕者被落案起訴起底罪行,當中32人已被定罪。她認為,過去3年的果斷執法行動已明顯收效,公署去年主動經網上巡查發現的起底個案有87宗,較2022年的1,134宗大跌逾90%;同期接獲的相關投訴個案亦由630宗大減至355宗。
樂施會遭入侵 55萬人資料被盜
另外,樂施會於去年7月13日向公署通報資料外洩事故,指其遭受勒索軟件攻擊。公署經調查後發現,黑客透過暴力攻擊及利用樂施會防火牆的嚴重漏洞,執行遠端程式碼及指令,以取得保密插口層虛擬私有網絡主控台的存取權限,繼而控制一個資訊科技測試人員的賬戶。黑客其後取得樂施會的活動目錄的管理員權限,繼而入侵樂施會的伺服器、工作電腦及手提電腦,並放置勒索軟件「DarkHack」以竊取資料。
事件導致樂施會共37台伺服器及24台工作的電腦或手提電腦被入侵,逾330GB的數據被竊取,涉及可能多達55萬人的身份證、地址、信用卡、銀行賬戶號碼等敏感資料,當中包括逾52萬名捐款者;其餘還包括活動參加者、義工、職員及求職者等。
公署指事件揭示樂施會存在七大缺失,包括自2023年6月以來,未曾對涉事防火牆進行任何修補或更新,令黑客有機可乘;未有啟用多重認證功能;沒有對伺服器進行關鍵保安修補;資訊系統欠缺有效的偵測措施;對資訊系統進行的保安評估不足;資訊保安政策有欠具體;以及過長地保存個人資料(7年前舉辦的活動的個人資料仍被保留)。
鍾麗玲認為,樂施會是一間具規模的機構,恒常地持有並處理大量不同人士的個人資料,持份者及公眾會合理地期望樂施會投入足夠資源確保其資訊系統安全。然而,調查顯示樂施會於事發前未有採取足夠及有效的措施以保障其資訊系統安全,亦未有制訂有效的機制適時地銷毀超過保存期限的個人資料,以致發生大規模的資料外洩事故,情況令人遺憾。
