载有11,000名未经加密的病人资料的资讯科技系统遭入侵 — 保障资料第4原则 — 个人资料的保安
背景
一个政府部门向私隐公署通报,表示其资讯科技系统遭入侵。遭入侵的伺服器载有超过11,000个未经加密的临时档案,当中载有病人的个人资料,包括:姓名、香港身份证号码、性别、病历记录及评估资料。在发现事件后,该部门立即停用该伺服器,并在其后的调查中发现只有少于4%的临时档案可能被黑客存取或下载。
根据该部门的调查,有关的临时档案是由一个程式设计介面所产生。由于程式故障,该些档案在使用完成后没有被立即销毁。虽然该部门早于数个月前已得悉有关的程式故障,并已进行了第一批的档案销毁行动,但余下的该些档案仍可被入侵。
补救措施
在内部调查过程中,该部门找出了系统的保安漏洞并进行修复。同时,该部门在恢复使用其资讯科技系统前,对此进行了全面性的保安风险评估及私隐影响评估,并建议和制定了以下的长期措施以防止日后再发生类似事件:
上载日期:2022年7月