日期: 2018年1月4日
私隐专员关注旅行社资料保安事故频生 重申多项保安措施建议
(2018年1月4日) 就最近发生多宗有关旅行社的电脑系统遭入侵的资料保安事故,香港个人资料私隐专员(「私隐专员」)表示关注,并提醒旅游业界遵从《个人资料(私隐)条例》(「条例」)的规定,采取切实可行的步骤,保障个人资料安全,确保个人资料不会未经授权或意外地被查阅、处理、删除、丧失或使用,并保持警惕。保安措施包括:
-
于现有的工作流程或指引中列明保护敏感资料的措施;
-
应贯彻执行在不可靠网络(包括互联网)传输个人资料时必须加密的规定,并书面订明违规的后果;
-
检讨及完善资讯科技保安政策及管治,以确保其全面性及完整性;及
-
完善处理资料遗失或外洩的指引。
黑客入侵电脑系统,亦属网络罪案。得悉警方亦正就有关事故进行刑事调查,香港个人资料私隐专员公署(「公署」)务必继续与警方保持紧密联系。
就旅行社大航假期及金怡假期怀疑电脑系统遭入侵导致客户资料可能外洩事件,公署已收到有关旅行社的资料外洩通报并已展开循规审查,同时会协助其采取补救措施,以减低潜在的损害。至于较早前另一家旅行社纵横游怀疑电脑系统遭入侵导致客户资料可能外洩事件,公署就此展开的循规审查现正进行中。
私隐专员黄继儿表示:「有关旅行社的网络保安事故而引致的客户资料外洩,近日似乎有上升趋势,情况备受关注。就我们现时所知,最近三宗有关『大航假期』、『纵横游』及『金怡假期』的资料保安事故,性质上大致均属系统遭黑客入侵。旅行社作为资料使用者,在网络保安方面,须采取所有合理地切实可行的保安措施,保障客户的个人资料安全。由于科技日新月异,网络保安事故原因亦变得多元化,增加追查事故的挑战。公署若发现旅行社资料外洩,包括黑客侵袭在内,定当联络相关旅行社并展开循规审查。」
由于旅行社会收集和保存大量客户的个人资料,因此公署曾于2016年1月 发表一份有关旅行社所采取的资料保障措施的视察报告供业界参考,当中包括就资讯科技保安(如了解其针对入侵者、勒索程式、恶意软件及漏洞所设立的技术安排)进行检视。报告列出所视察的旅行社有一些值得参考的行事方式,并提出多项保安措施方面的建议。有关视察报告可于公署网站
下载。
私隐专员会继续与持份者沟通,向旅游业界推广保障私隐,并会和业界团体和业内企业接触,透过专业培训班、讲座、研讨会及持份者会议,借教育及推广工作提高业界对条例的认识和理解,以培育及推广「保障、尊重个人资料」的文化。
-完-