一间教育机构因密码管理欠佳而导致未获授权查阅学生和家长的个人资料 — 保障资料第4原则 — 个人资料的保安
背景
一间教育机构向私隐专员公署通报,指他们的资讯管理系统遭黑客利用暴力攻击获取了管理员密码,并建立了具有管理权限的新帐户,以查阅当中的个人资料。事件影响超过24,000名家长及学生用户的个人资料。该机构调查后发现,是次事故源于密码管理欠佳,未有采取行业最佳做法保护管理员帐户所致。
补救措施
收到该机构的通报后,私隐专员公署展开循规审查,并就《私隐条例》的相关规定向该机构提供建议。就此,该机构采取了补救措施,包括为其资讯管理系统采用双重认证功能为系统帐户提供额外的保护、设定高强度密码、定期清理不必要的帐户,以及透过加强培训提高员工的资料保障意识。
借鉴
基于行政和教学用途,教育机构通常会持有大量关于学生及学生家长的个人资料。越来越多教育机构采用网上学习模式,当这些机构利用资讯科技带来方便的同时,不应忽视随之而来的私隐风险,特别是关乎儿童及青少年的个人资料。机构管理个人资料系统需加强警惕,制定适当的系统安全政策、措施和程序(例如善用多重认证功能及采用合适的密码管理政策),以减低个人资料遭未获准许的或意外的查阅、处理、删除、丧失或使用的风险。
上载日期:2024年2月