2018年4月23日
公署跟進有關香港寛頻一宗懷疑客戶資料庫遭入侵導致客戶的個人資料可能外洩事件
謝謝你的查詢,跟進有關香港寛頻一宗懷疑客戶資料庫遭入侵導致客戶的個人資料可能外洩事件,公署現回覆如下:
-
私隱專員就事件已展開循規審查。公署會按照《個人資料(私隱)條例》(《私隱條例》)的規定及既定程序跟進事件。
-
截至今日(2018年4月23日),公署接獲與事件相關的查詢共30宗,投訴則有11宗。
-
基於公署作為獨立的法定監察及調查機構,公署不適宜評論個別機構擬推行的任何涉及個人資料保存的政策。一般而言,任何機構必須按《私隱條例》的規定妥善保留及刪除客戶的個人資料,其中機構須採取所有切實可行的步驟:
-
確保個人資料的保留時間不得超過達致原來目的的實際所需(保障資料第2(2)原則);及
-
刪除已不再為使用目的而需要保留的個人資料,除非受任何法律禁止或不刪除該資料是符合公眾利益的(《私隱條例》第26條)。
-
不論公私營機構,作為資料使用者,必須按《私隱條例》規定妥善儲存客戶的個人資料,並採取切實可行的步驟,保障個人資料不會未經授權或意外地被查閱、處理、刪除、喪失或使用,否則便有可能違反《私隱條例》下的資料保安原則 [1]。
若違反保障資料原則,私隱專員可發出執行通知,指令資料使用者採取補救措施,以免觸犯《私隱條例》的規定。不遵守執行通知即屬犯罪。違法者一經定罪,最高可被判處罰款五萬元和監禁兩年。如罪行持續,可處每日罰款一千元。
[1] 《私隱條例》下的保障資料第4原則 – 資料保安原則