新聞稿
新闻稿 - 私隐专员公署发表2022年工作报告及一份调查报告
日期: 2023年2月9日
私隐专员公署发表2022年工作报告及一份调查报告
个人资料私隐专员公署(私隐专员公署)今日(2月9日)发表2022年的工作报告及一份有关香港银行学会资料外洩的调查报告。
1. 投诉个案
私隐专员公署在2022年收到的投诉个案为3,848宗,比2021年的3,354宗上升15%,主要是由于《2021年个人资料(私隐)(修订)条例》下打击「起底」新条文自2021年年底生效后,「起底」的投诉个案有所增加。95%的投诉个案涉及投诉私营机构或个别人士(3,656宗);其余5%涉及投诉公共机构或政府部门(192宗)。
2. 回应查询
私隐专员公署在2022年接获14,929 宗公众查询个案,比2021年的17,651宗减少 15%,公署平均每个月处理超过1,200宗查询个案。
因应透过伪冒电话、电邮或短讯诱骗个人资料的个案呈上升趋势,私隐专员公署已于2022年9月设立「个人资料防骗热线」3423 6611,处理怀疑诱骗个人资料的查询或投诉,截至12月底防骗热线共收到168个来电。公署于2022年全年接获707宗有关套取市民个人资料作诈骗用途的查询,比2021年的557宗增加26%。
3. 个人资料外洩事故
在2022年,私隐专员公署接获105 宗资料外洩事故通报,当中41宗来自公营机构及64宗来自私营机构。这些外洩事故涉及黑客入侵、遗失文件或便携式装置、经传真、电邮或邮件意外披露个人资料、僱员违规、及系统错误设定等。
私隐专员公署于2022年进行了392次循规审查,较2021年的377次增加4%。
4. 修订《私隐条例》以打击「起底」行为
《私隐条例》下规管「起底」行为的条文于2021年10月8日生效,将「起底」行为刑事化,并赋予个人资料私隐专员(私隐专员)就有关罪行的刑事调查及检控权。
执法行动
由有关条文生效日至2022年12月31日,私隐专员公署合共处理2,128宗「起底」个案。期间,私隐专员公署就114宗个案展开刑事调查。公署亦将32宗案件转介予警方继续跟进。
至于拘捕行动方面,私隐专员公署截至2022年12月31日合共展开了12次拘捕行动,包括2021年一宗及2022年11宗(包括一宗与警方的联合拘捕行动),共12人被捕。被捕人士将事主「起底」的原因主要为金钱纠纷(50%)、工作纠纷(25%)及感情纠纷(17%)。被捕人士将事主「起底」的途径为社交媒体平台及即时通讯软件(92%)及张贴单张(8%)。
截至2022年12月31日,已有五名被捕人士被落案起诉,被裁定罪名成立的有两人,当中已被判刑的有一人。该名人士被法院判处八个月即时监禁。私隐专员公署欢迎法庭的裁决,认为上述判刑具阻吓力,有助遏止「起底」行为。其他已落案起诉的案件仍处于司法程序中。
停止披露通知
由2021年10月相关条文生效至2022年12月31日,私隐专员公署合共向26个平台发出了1,500个停止披露通知,涉及17,703个「起底」信息,遵从率超过90%。
5. 有关香港银行学会的调查报告
私隐专员公署已经完成对香港银行学会(学会)一宗资料外洩事故的调查,并于今日(2月9日)发表调查报告。事件源于学会向公署通报资料外洩事故,指其名下六台载有个人资料的伺服器遭勒索软件攻击及恶意加密,一名黑客威胁学会将该些伺服器内的档案上载至互联网,并要求学会支付赎金,为已被加密的档案解锁。事件导致超过13,000名会员及约10万名非会员的个人资料外洩。
根据调查所获得的证据,私隐专员钟丽玲认为学会在资料保安风险意识及个人资料保安措施方面存在以下三项不足:
在这个案中,私隐专员发现学会在资料保安风险管理及个人资料保安措施方面存在明显不足,导致载有个人资料的伺服器遭勒索软件攻击。私隐专员认为学会欠缺有效的资料保安风险管理机制,在保养关键的网络设备上对服务提供者采取宽松态度,导致载有个人资料的资讯系统的保安措施无法有效应对网络安全风险和威胁。私隐专员经调查后认为学会没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,因而违反了《私隐条例》保障资料第 4(1)原则有关个人资料保安的规定。私隐专员已向学会送达执行通知,指示学会纠正以及防止有关违规情况再发生。
私隐专员亦希望借此报告,向使用资讯及通讯科技处理个人资料的机构作出下述建议:
下载《调查报告:香港银行学会伺服器遭勒索软件攻击》:
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r23_6319_c.pdf
6. 有关资料保安措拖的单张
在2022年,私隐专员公署共接获105宗由机构通报的资料外洩事故,其中超过四分之一涉及黑客入侵。而受资料外洩事故影响的香港市民亦由2021年的约60万大增至2022年逾100万。有见及此,私隐专员公署亦于今日出版介绍《资讯及通讯科技的保安措施指引》的单张,突显各项资料保安建议措施的重点。
单张涵盖指引建议的七大类别保安措施:
下载《指引》:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/guidance_datasecurity_c.pdf
下载《指引》的单张:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/data_security_measures_leaflet_c.pdf
私隐专员钟丽玲讲解2022年工作报告。
署理首席个人资料主任(合规及查询)郭正熙讲解香港银行学会的调查报告。
1. 投诉个案
私隐专员公署在2022年收到的投诉个案为3,848宗,比2021年的3,354宗上升15%,主要是由于《2021年个人资料(私隐)(修订)条例》下打击「起底」新条文自2021年年底生效后,「起底」的投诉个案有所增加。95%的投诉个案涉及投诉私营机构或个别人士(3,656宗);其余5%涉及投诉公共机构或政府部门(192宗)。
2. 回应查询
私隐专员公署在2022年接获14,929 宗公众查询个案,比2021年的17,651宗减少 15%,公署平均每个月处理超过1,200宗查询个案。
因应透过伪冒电话、电邮或短讯诱骗个人资料的个案呈上升趋势,私隐专员公署已于2022年9月设立「个人资料防骗热线」3423 6611,处理怀疑诱骗个人资料的查询或投诉,截至12月底防骗热线共收到168个来电。公署于2022年全年接获707宗有关套取市民个人资料作诈骗用途的查询,比2021年的557宗增加26%。
3. 个人资料外洩事故
在2022年,私隐专员公署接获105 宗资料外洩事故通报,当中41宗来自公营机构及64宗来自私营机构。这些外洩事故涉及黑客入侵、遗失文件或便携式装置、经传真、电邮或邮件意外披露个人资料、僱员违规、及系统错误设定等。
私隐专员公署于2022年进行了392次循规审查,较2021年的377次增加4%。
4. 修订《私隐条例》以打击「起底」行为
《私隐条例》下规管「起底」行为的条文于2021年10月8日生效,将「起底」行为刑事化,并赋予个人资料私隐专员(私隐专员)就有关罪行的刑事调查及检控权。
执法行动
由有关条文生效日至2022年12月31日,私隐专员公署合共处理2,128宗「起底」个案。期间,私隐专员公署就114宗个案展开刑事调查。公署亦将32宗案件转介予警方继续跟进。
至于拘捕行动方面,私隐专员公署截至2022年12月31日合共展开了12次拘捕行动,包括2021年一宗及2022年11宗(包括一宗与警方的联合拘捕行动),共12人被捕。被捕人士将事主「起底」的原因主要为金钱纠纷(50%)、工作纠纷(25%)及感情纠纷(17%)。被捕人士将事主「起底」的途径为社交媒体平台及即时通讯软件(92%)及张贴单张(8%)。
截至2022年12月31日,已有五名被捕人士被落案起诉,被裁定罪名成立的有两人,当中已被判刑的有一人。该名人士被法院判处八个月即时监禁。私隐专员公署欢迎法庭的裁决,认为上述判刑具阻吓力,有助遏止「起底」行为。其他已落案起诉的案件仍处于司法程序中。
停止披露通知
由2021年10月相关条文生效至2022年12月31日,私隐专员公署合共向26个平台发出了1,500个停止披露通知,涉及17,703个「起底」信息,遵从率超过90%。
5. 有关香港银行学会的调查报告
私隐专员公署已经完成对香港银行学会(学会)一宗资料外洩事故的调查,并于今日(2月9日)发表调查报告。事件源于学会向公署通报资料外洩事故,指其名下六台载有个人资料的伺服器遭勒索软件攻击及恶意加密,一名黑客威胁学会将该些伺服器内的档案上载至互联网,并要求学会支付赎金,为已被加密的档案解锁。事件导致超过13,000名会员及约10万名非会员的个人资料外洩。
根据调查所获得的证据,私隐专员钟丽玲认为学会在资料保安风险意识及个人资料保安措施方面存在以下三项不足:
- 资料保安风险管理欠佳;
- 资讯系统管理有欠妥善;及
- 未适时启用多重认证功能。
在这个案中,私隐专员发现学会在资料保安风险管理及个人资料保安措施方面存在明显不足,导致载有个人资料的伺服器遭勒索软件攻击。私隐专员认为学会欠缺有效的资料保安风险管理机制,在保养关键的网络设备上对服务提供者采取宽松态度,导致载有个人资料的资讯系统的保安措施无法有效应对网络安全风险和威胁。私隐专员经调查后认为学会没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,因而违反了《私隐条例》保障资料第 4(1)原则有关个人资料保安的规定。私隐专员已向学会送达执行通知,指示学会纠正以及防止有关违规情况再发生。
私隐专员亦希望借此报告,向使用资讯及通讯科技处理个人资料的机构作出下述建议:
- 提高警觉,防止黑客攻击,定时进行风险评估;
- 设立个人资料私隐管理系统,循规使用及保留个人资料,并有效管理个人资料的整个生命周期;
- 委任专责人员作为保障资料主任;
- 提升资讯系统管理,包括制订有效的修补程式管理程序,尽早修补保安漏洞;
- 确实执行数据备份,制订数据备份政策,定期备份含有重要资料的系统;及
- 妥善监督服务提供者。
下载《调查报告:香港银行学会伺服器遭勒索软件攻击》:
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r23_6319_c.pdf
6. 有关资料保安措拖的单张
在2022年,私隐专员公署共接获105宗由机构通报的资料外洩事故,其中超过四分之一涉及黑客入侵。而受资料外洩事故影响的香港市民亦由2021年的约60万大增至2022年逾100万。有见及此,私隐专员公署亦于今日出版介绍《资讯及通讯科技的保安措施指引》的单张,突显各项资料保安建议措施的重点。
单张涵盖指引建议的七大类别保安措施:
- 资料管治和机构性措施;
- 风险评估;
- 建议一系列技术上及操作上的保安措施;
- 资料处理者的管理;
- 资料保安事故发生后采取及时和有效的补救措施;
- 定期监察、评估及改善资料保安政策的遵从情况;及
- 使用云端服务、自携装置,及便携式储存装置的相应资料保安措施。
下载《指引》:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/guidance_datasecurity_c.pdf
下载《指引》的单张:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/data_security_measures_leaflet_c.pdf
私隐专员钟丽玲讲解2022年工作报告。
署理首席个人资料主任(合规及查询)郭正熙讲解香港银行学会的调查报告。
-完-