日期: 2023年10月20日
公署回應有關香港郵政資料外洩事故的傳媒查詢
就 有關香港郵政資料外洩事故之查詢,個人資料私隱專員公署(私隱專員公署)現回應如下:
問題:
「網上有指香港郵政本周三(18日)以電郵通知受影響用戶,稱『未經授權人士利用我們(香港郵政)的電子服務功能,透過無數次嘗試及猜測香港郵政帳戶持有人的登記電郵地址,並最終碰巧取得了你(受影響用戶)用作與香港郵政帳戶登記的電郵地址。』
文中提到郵政已通報私隱專員公署。本報盼查詢如下:
1. 署方是否接獲香港郵政通報?如是,何時?接獲的通報內容包括?
2. 據署方知悉,請問上述事故何時發生、香港郵政如何察覺發生事故、中間曾否阻止、責任誰屬?
3. 署方對香港郵政、香港郵政的用戶,分別有何建議,以防範同類事故再發生?
4. 有關的網上帖文指香港郵政忽略公眾知情權,迄今未向公眾公布事件。署方認為香港郵政需否向公眾交待事故,為何?」
答(問題1、2及4):
-
私隱專員公署於今日(10月20日)收到相關的資料外洩事故通報,公署已根據既定程序就事件展開循規審查,亦已建議有關機構應盡快通知受影響人士。
-
根據私隱專員公署發出的《資料外洩事故的處理及通報指引》,一般來說,機構在知悉事故後,不論內部調查的進度如何,都應在切實可行的情況下盡快作出通報。機構必須盡快作出通報才能獲得通報的最大好處,特別是減低對受影響資料當事人造成的風險以及維持機構的商譽。
答(問題3):
-
私隱專員公署呼籲可能受影響人士提高警惕,慎防個人資料被盜用。若懷疑個人資料被外洩,可向相關機構或公署(電話:2827 2827、電郵:communications@pcpd.org.hk)作出查詢或投訴。受影響人士為保障個人資料私隱,應採取以下措施:
-
考慮更改網上帳戶的電郵地址及密碼,並啟用多重認證功能(如有的話);
-
留意個人電郵或帳戶有否不尋常的登入記錄;
-
收到不明來歷或可疑的來電、短訊或電郵時要提高警覺,切勿隨意打開附件或披露個人資料;及
-
對網絡釣魚及其他詐騙行為提高警覺。
-
同時,私隱專員公署建議持有個人資料的機構應採取以下的資料保安措施,以加強數據安全,防範資訊系統受到惡意攻擊:
-
採取資料管治和機構性措施:機構應制定針對資料管治和資料保安的內部政策和程序,包括委任合適的領導人員負責資料保安,及提供足夠的培訓予工作人員;
-
定期進行風險評估:在啟用新系統和新應用程式前,以及在啟用後定期進行資料保安風險評估;
-
採取一系列的技術上及操作上的保安措施,包括定期對資訊及通訊系統進行保安漏洞評估及滲透測試;
-
妥善管理資料處理者:機構須採取合約規範方法或其他方法,以防止轉移予資料處理者的個人資料在未獲准許或意外的情況下被查閱、處理、刪除、喪失或使用;
-
適時採取資料保安事故發生後的補救措施,從而減輕對機構及受影響人士可能造成的傷害;及
-
定期監察、評估及改善資料保安政策的遵從情況。