香港寬頻去年洩38萬客戶資料 私隱公署判違《私隱條例》通知糾正
香港寬頻去年四月因伺服器被黑客入侵,近38名客戶個人資料外洩。香港個人資料私隱專員公署今日公布調查報告,指涉事資料庫本應在2012年停用並刪除,惟卻因「人為疏忽」而被保留下來,加上保留舊客戶的資料時間過長,做法違反有關《私隱條例》規定,已向公司送達執行通知,以糾正違規情況及防止事故重演。
私隱公署的報告揭示,事發時香港寬頻將客戶資料儲存在三個資料庫內,而遭黑客入侵的資料庫是一個已停用的資料庫,存有截至2012年客戶和服務申請者的個人資料,包括姓名、電郵地址、通訊地址、電話號碼、身份證號碼和信用卡資料。
人為疏忽保留已停用資料庫
報告指出,涉事資料庫本應在2012年完成系統遷移後被刪除,卻因「人為疏忽」而被保留下來,並繼續連接內部網絡。
而公司卻遺忘涉事資料庫的存在,期間亦沒有更新資料庫的修補程式及將資料作加密處理。香港寬頻在系統遷移後沒有作全面及審慎的檢查,以致未有適時刪除涉事資料庫。公司在事發前,並無仔細考量舊客戶個人資料的保留期限,制訂資料保留的內部指引,以致事發前保留舊客戶的資料時間過長。
私隱專員黃繼兒認為香港寬頻沒有採取所有切實可行的步驟,刪除已不再需要的涉事資料庫,加上保留舊客戶的個人資料時間過長,因而違反《私隱條例》第26條(資料刪除)和《私隱條例》附表1的保障資料第2(2)原則(資料保留)。
私隱專員已向香港寬頻送達執行通知,以糾正及防止違規情況,包括制定清晰的程序,訂明系統遷移後,刪除不再需要的資料庫內的個人資料的步驟、時限和監察措施,亦要訂明資料保留期限等,並確保有關員工知悉和執行上述政策及程序等。
應檢討向違規者判處行政罰款
現時私隱專員未獲授權判處罰款,不過,報告指,鑑於近年資料外洩事故頻生,加上留意到其他法定機關獲賦予行政罰款的職能和權力,認為社會應重新討論,是否應向違反《私隱條例》附表 1 的保障資料原則的資料使用者,判處行政罰款。