Skip to content

个案简述

个案简述

有关客户资料的个案简述

参考编号.:2016DB02

承办商未获授权下载210,000名银行客户的个人资料 — 保障资料第4原则 — 个人资料的保安

背景

一间银行向私隐公署通报,银行委托了一名承办商执行银行的系统发展项目,并授权他使用银行的原始资料进行有关的项目测试,惟该承办商其后被发现在未获授权的情况下从银行的电脑下载了964个载有客户个人资料的档案至其个人流动装置。涉及的个人资料包括约210,000名客户的香港身份证号码、住宅及邮寄地址,以及基金投资资料。

该银行解释,事件是由于银行的资料遗失防护系统的配置有漏洞,以致系统只能阻止资料被储存到外置的储存装置,但有关的储存装置却不包括视窗便携式装置,例如智能电话及平板电脑。该银行述明该名承办商并没有对外披露或使用其所下载的档案资料。

补救措施

该银行采取了下述补救行动,防止日后再发生类似事件:

  1. 重新设置其资料遗失防护系统,以阻止资料被传输到视窗便携式装置;
  2. 加强其资料外泄侦测工具及安装在电脑的端点保安软件,以防止恶意或未获授权的资料转移;
  3. 透过云端监控工具监察经互联网传输的资料;及
  4. 更改其现有程序指引,要求承办商日后只可以虚拟或匿名化的资料作系统测试及发展。

上载日期:2022年7月


个案种类 : 按条例规定/保障资料原则/实务守则/指引分类: 按题目/内容分类: