日期: 2017年11月22日
公署回應有關電召汽車公司Uber的資料外洩事件
謝謝你的查詢,有關電召汽車公司Uber的資料外洩事件,公署現回覆如下:
-
公署從傳媒報道得悉事件,而根據該電召汽車公司所發出的聲明,指其公司遭他人盜取全球約5,700萬名用家(包括乘客及司機)的資料,當中包括姓名、電郵地址和手提電話號碼。私隱專員對事件表示關注,公署將會主動聯絡Uber在香港的辦事處了解事件。
-
一般而言,任何資料使用者(不論個人或機構)透過手機應用程式在香港或從香港控制收集、持有、處理或使用(包括披露和轉移)該應用程式用家的個人資料時,都須遵守《個人資料(私隱)條例》(「條例」)下的規定,包括六項保障資料原則,其中就資料保安方面,資料使用者必須妥善儲存用家的個人資料,並採取切實可行的步驟,保障個人資料不會未經授權或意外地被查閱、處理、刪除、喪失或使用,否則便有可能違反條例下的資料保安原則[1]。
-
私隱專員建議曾使用該電召汽車服務的用家應密切留意其個人帳戶(包括有關應用程式賬戶及電郵帳戶等)情況,並更改登入密碼,以免其個人資料遭未獲授權查閱及使用。任何人士如懷疑其個人資料私隱受到侵犯,而又能提供表面證據,可以向公署作投訴。
-
公署留意到現今不少公私營機構,都會利用各種資訊科技營運業務或提供服務,當中常會涉及收集、處理或儲存個人資料,相關的私隱及個人資料保障方面潛在風險也不容忽視。個人資料一旦外洩或遭濫用,可能會對其顧客造成嚴重傷害並影響公司商譽。公署建議機構應:
-
具備清晰及適當的個人資料私隱政策及指引;
-
在互聯網及機構網站/儲存資料的伺服器進行例行的搜尋,檢查是否有個人資料意外地外洩;
-
聘用具備資訊保安知識的資訊科技人員及承辦商,並確保他們掌握的知識與時並進;
-
了解網站/儲存資料的伺服器或網站設計人員的工作流程,避免個人資料儲存在公眾可查閱的位置;
-
建立正規的資訊安全修補程式管理;
-
定期對網站/儲存資料的伺服器進行漏洞掃描/測試;
-
建立具合適複雜程度的密碼和重設密碼監控;
-
採用適當的加密運算方式和密碼,把靜止和流動的資料加密;及
-
確保沒有用的資料被穩妥地刪除,詳情可參閱公署刊發的《個人資料的刪除與匿名化指引》
-
同時,私隱專員鼓勵機構若發現資料外洩事故,應通知公署,以妥善處理有關事故。公署刊發《資料外洩事故的處理及通報指引》,當中規定如發生資料外洩事故,資料使用者須立即收集有關事故的重要資料、採取適當措施遏止事件擴大,以及考慮作出資料外洩通報等。
-
公署亦為公司機構提供多項保障網上資料及網上營商實用資料,詳情可瀏覽公署「網上私隱要自保」專題網站。
-
截至今日(11月22 日)下午4時,公署未曾接獲相關查詢及投訴。
(如需引述,請寫私隱專員黃繼兒)
[1] 條例下的保障資料第4原則 – 資料保安原則