个案简述

承办商未获授权下载210,000名银行客户的个人资料 — 保障资料第4原则 — 个人资料的保安

背景

一间银行向私隐公署通报，银行委托了一名承办商执行银行的系统发展项目，并授权他使用银行的原始资料进行有关的项目测试，惟该承办商其后被发现在未获授权的情况下从银行的电脑下载了964个载有客户个人资料的档案至其个人流动装置。涉及的个人资料包括约210,000名客户的香港身份证号码、住宅及邮寄地址，以及基金投资资料。

该银行解释，事件是由于银行的资料遗失防护系统的配置有漏洞，以致系统只能阻止资料被储存到外置的储存装置，但有关的储存装置却不包括视窗便携式装置，例如智能电话及平板电脑。该银行述明该名承办商并没有对外披露或使用其所下载的档案资料。

补救措施

该银行采取了下述补救行动，防止日后再发生类似事件：

1. 重新设置其资料遗失防护系统，以阻止资料被传输到视窗便携式装置；
2. 加强其资料外泄侦测工具及安装在电脑的端点保安软件，以防止恶意或未获授权的资料转移；
3. 透过云端监控工具监察经互联网传输的资料；及
4. 更改其现有程序指引，要求承办商日后只可以虚拟或匿名化的资料作系统测试及发展。

上载日期：2022年7月