個案簡述

承辦商未獲授權下載210,000名銀行客戶的個人資料 — 保障資料第4原則 — 個人資料的保安

背景

一間銀行向私隱公署通報，銀行委託了一名承辦商執行銀行的系統發展項目，並授權他使用銀行的原始資料進行有關的項目測試，惟該承辦商其後被發現在未獲授權的情況下從銀行的電腦下載了964個載有客戶個人資料的檔案至其個人流動裝置。涉及的個人資料包括約210,000名客戶的香港身份證號碼、住宅及郵寄地址，以及基金投資資料。

該銀行解釋，事件是由於銀行的資料遺失防護系統的配置有漏洞，以致系統只能阻止資料被儲存到外置的儲存裝置，但有關的儲存裝置卻不包括視窗便攜式裝置，例如智能電話及平板電腦。該銀行述明該名承辦商並沒有對外披露或使用其所下載的檔案資料。

補救措施

該銀行採取了下述補救行動，防止日後再發生類似事件：

1. 重新設置其資料遺失防護系統，以阻止資料被傳輸到視窗便攜式裝置；
2. 加強其資料外洩偵測工具及安裝在電腦的端點保安軟件，以防止惡意或未獲授權的資料轉移；
3. 透過雲端監控工具監察經互聯網傳輸的資料；及
4. 更改其現有程序指引，要求承辦商日後只可以虛擬或匿名化的資料作系統測試及發展。

上載日期：2022年7月