Skip to content

個案簡述

個案簡述

有關保障資料第4原則 - 個人資料的保安的個案簡述

參考編號.:2016DB02

承辦商未獲授權下載210,000名銀行客戶的個人資料 — 保障資料第4原則 — 個人資料的保安

背景

一間銀行向私隱公署通報,銀行委託了一名承辦商執行銀行的系統發展項目,並授權他使用銀行的原始資料進行有關的項目測試,惟該承辦商其後被發現在未獲授權的情況下從銀行的電腦下載了964個載有客戶個人資料的檔案至其個人流動裝置。涉及的個人資料包括約210,000名客戶的香港身份證號碼、住宅及郵寄地址,以及基金投資資料。

該銀行解釋,事件是由於銀行的資料遺失防護系統的配置有漏洞,以致系統只能阻止資料被儲存到外置的儲存裝置,但有關的儲存裝置卻不包括視窗便攜式裝置,例如智能電話及平板電腦。該銀行述明該名承辦商並沒有對外披露或使用其所下載的檔案資料。

補救措施

該銀行採取了下述補救行動,防止日後再發生類似事件:

  1. 重新設置其資料遺失防護系統,以阻止資料被傳輸到視窗便攜式裝置;
  2. 加強其資料外洩偵測工具及安裝在電腦的端點保安軟件,以防止惡意或未獲授權的資料轉移;
  3. 透過雲端監控工具監察經互聯網傳輸的資料;及
  4. 更改其現有程序指引,要求承辦商日後只可以虛擬或匿名化的資料作系統測試及發展。

上載日期:2022年7月


個案種類 : 按條例規定/ 保障資料原則/ 實務守則/ 指引分類 : 按題目/內容分類: