Skip to content

个案简述

个案简述

有关保障资料第4原则 - 个人资料的保安的个案简述

参考编号.:2021DB01

国际连锁服装公司的客户个人资料系统遭未获授权查阅 — 保障资料第4原则 — 个人资料的保安

背景

一间国际连锁服装公司向私隐公署通报,指其载有电子商务客户及忠诚计划会员的客户个人资料系统被勒索软件攻击,导致资料外泄事故,涉及约 200,000 客户纪录,包括姓名、电话号码、电邮地址、性别及年龄组别。

该公司聘请独立顾问就该事故作出调查。调查结果显示该公司未能发现一个已为人知可被攻击的漏洞,让攻击者成功透过该漏洞,使用有效凭证资料登入客户个人资料系统,于该公司的网络安装勒索软件。

补救措施

该公司采取了下述的补救措施:

  1. 通知受该事故影响的所有客户;
  2. 扫描系统寻找出所有已识辨的漏洞并作出修补;
  3. 加强监控系统的保安侦测及保护措施;
  4. 登入系统采用多重身份认证;及
  5. 设定资料的保存期限,每年删除过时的资料。

借鉴

资料使用者应定期检视及监察其网络的保安措施,并适时进行测试及安装相关系统的保安修补。资料使用者亦应把个人资料的保存期限,设定为不长于为完成收集个人资料目的之所需时间。保存期限越短,保安风险亦会越低。

上载日期:2022年6月


个案种类 : 按条例规定/保障资料原则/实务守则/指引分类: 按题目/内容分类: