日期: 2018年1月4日
私隱專員關注旅行社資料保安事故頻生 重申多項保安措施建議
(2018年1月4日) 就最近發生多宗有關旅行社的電腦系統遭入侵的資料保安事故,香港個人資料私隱專員(「私隱專員」)表示關注,並提醒旅遊業界遵從《個人資料(私隱)條例》(「條例」)的規定,採取切實可行的步驟,保障個人資料安全,確保個人資料不會未經授權或意外地被查閱、處理、刪除、喪失或使用,並保持警惕。保安措施包括:
-
於現有的工作流程或指引中列明保護敏感資料的措施;
-
應貫徹執行在不可靠網絡(包括互聯網)傳輸個人資料時必須加密的規定,並書面訂明違規的後果;
-
檢討及完善資訊科技保安政策及管治,以確保其全面性及完整性;及
-
完善處理資料遺失或外洩的指引。
黑客入侵電腦系統,亦屬網絡罪案。得悉警方亦正就有關事故進行刑事調查,香港個人資料私隱專員公署(「公署」)務必繼續與警方保持緊密聯繫。
就旅行社大航假期及金怡假期懷疑電腦系統遭入侵導致客戶資料可能外洩事件,公署已收到有關旅行社的資料外洩通報並已展開循規審查,同時會協助其採取補救措施,以減低潛在的損害。至於較早前另一家旅行社縱橫遊懷疑電腦系統遭入侵導致客戶資料可能外洩事件,公署就此展開的循規審查現正進行中。
私隱專員黃繼兒表示:「有關旅行社的網絡保安事故而引致的客戶資料外洩,近日似乎有上升趨勢,情況備受關注。就我們現時所知,最近三宗有關『大航假期』、『縱橫遊』及『金怡假期』的資料保安事故,性質上大致均屬系統遭黑客入侵。旅行社作為資料使用者,在網絡保安方面,須採取所有合理地切實可行的保安措施,保障客戶的個人資料安全。由於科技日新月異,網絡保安事故原因亦變得多元化,增加追查事故的挑戰。公署若發現旅行社資料外洩,包括黑客侵襲在內,定當聯絡相關旅行社並展開循規審查。」
由於旅行社會收集和保存大量客戶的個人資料,因此公署曾於2016年1月 發表一份有關旅行社所採取的資料保障措施的視察報告供業界參考,當中包括就資訊科技保安(如了解其針對入侵者、勒索程式、惡意軟件及漏洞所設立的技術安排)進行檢視。報告列出所視察的旅行社有一些值得參考的行事方式,並提出多項保安措施方面的建議。有關視察報告可於公署網站
下載。
私隱專員會繼續與持份者溝通,向旅遊業界推廣保障私隱,並會和業界團體和業內企業接觸,透過專業培訓班、講座、研討會及持份者會議,藉教育及推廣工作提高業界對條例的認識和理解,以培育及推廣「保障、尊重個人資料」的文化。
-完-