日期: 2017年11月22日
公署回应有关电召汽车公司Uber的资料外洩事件
谢谢你的查询,有关电召汽车公司Uber的资料外洩事件,公署现回复如下:
-
公署从传媒报道得悉事件,而根据该电召汽车公司所发出的声明,指其公司遭他人盗取全球约5,700万名用家(包括乘客及司机)的资料,当中包括姓名、电邮地址和手提电话号码。私隐专员对事件表示关注,公署将会主动联络Uber在香港的办事处了解事件。
-
一般而言,任何资料使用者(不论个人或机构)透过手机应用程式在香港或从香港控制收集、持有、处理或使用(包括披露和转移)该应用程式用家的个人资料时,都须遵守《个人资料(私隐)条例》(「条例」)下的规定,包括六项保障资料原则,其中就资料保安方面,资料使用者必须妥善储存用家的个人资料,并采取切实可行的步骤,保障个人资料不会未经授权或意外地被查阅、处理、删除、丧失或使用,否则便有可能违反条例下的资料保安原则[1]。
-
私隐专员建议曾使用该电召汽车服务的用家应密切留意其个人帐户(包括有关应用程式账户及电邮帐户等)情况,并更改登入密码,以免其个人资料遭未获授权查阅及使用。任何人士如怀疑其个人资料私隐受到侵犯,而又能提供表面证据,可以向公署作投诉。
-
公署留意到现今不少公私营机构,都会利用各种资讯科技营运业务或提供服务,当中常会涉及收集、处理或储存个人资料,相关的私隐及个人资料保障方面潜在风险也不容忽视。个人资料一旦外洩或遭滥用,可能会对其顾客造成严重伤害并影响公司商誉。公署建议机构应:
-
具备清晰及适当的个人资料私隐政策及指引;
-
在互联网及机构网站/储存资料的伺服器进行例行的搜寻,检查是否有个人资料意外地外洩;
-
聘用具备资讯保安知识的资讯科技人员及承办商,并确保他们掌握的知识与时并进;
-
了解网站/储存资料的伺服器或网站设计人员的工作流程,避免个人资料储存在公众可查阅的位置;
-
建立正规的资讯安全修补程式管理;
-
定期对网站/储存资料的伺服器进行漏洞扫描/测试;
-
建立具合适复杂程度的密码和重设密码监控;
-
采用适当的加密运算方式和密码,把静止和流动的资料加密;及
-
确保没有用的资料被稳妥地删除,详情可参阅公署刊发的《个人资料的删除与匿名化指引》
-
同时,私隐专员鼓励机构若发现资料外洩事故,应通知公署,以妥善处理有关事故。公署刊发《资料外洩事故的处理及通报指引》,当中规定如发生资料外洩事故,资料使用者须立即收集有关事故的重要资料、采取适当措施遏止事件扩大,以及考虑作出资料外洩通报等。
-
公署亦为公司机构提供多项保障网上资料及网上营商实用资料,详情可浏览公署「网上私隐要自保」专题网站。
-
截至今日(11月22 日)下午4时,公署未曾接获相关查询及投诉。
(如需引述,请写私隐专员黄继儿)
[1] 条例下的保障资料第4原则 – 资料保安原则