日期: 2019年2月21日
私隱專員發表香港寬頻客戶資料庫遭入侵事件的調查報告
香港個人資料私隱專員(私隱專員)黃繼兒就香港寛頻網絡有限公司(香港寬頻)於2018年4月中旬發生客戶資料庫遭入侵而導致近38萬名客戶及服務申請者的個人資料外洩事件展開調查,並根據《個人資料(私隱)條例》(《私隱條例》)第48(2)條,在符合公眾利益的情況下,於今天發表調查報告(報告)。基於調查發現香港寬頻在個人資料保留、刪除等方面違反了有關《私隱條例》的規定,私隱專員決定依據《私隱條例》第50(1)條,向香港寬頻送達執行通知,以糾正違規情況及防止事故重演。
主要調查結果
報告指出,事發時香港寬頻將客戶資料儲存在三個資料庫內。遭黑客入侵的資料庫是一個已停用的資料庫(涉事資料庫),存有截至2012年的客戶和服務申請者的個人資料,包括姓名、電郵地址、通訊地址、電話號碼、身份證號碼和信用卡資料,受影響人數近38萬。調查發現:
-
涉事資料庫本應在2012年完成系統遷移後被刪除,卻因人為疏忽而被保留下來,並繼續連接內部網絡。香港寬頻遺忘了涉事資料庫的存在,期間亦沒有更新資料庫的修補程式及將資料作加密處理;
-
香港寬頻在系統遷移後沒有作全面及審慎的檢查,以致未有適時刪除涉事資料庫;
-
香港寬頻在事發前沒有仔細考量舊客戶個人資料的保留期限和制定資料保留的內部指引,以及保留舊客戶的資料時間過長。
就調查所得和香港寬頻所承認的事實,以及本個案的所有情況,私隱專員認為香港寬頻沒有採取所有切實可行的步驟刪除已不再需要的涉事資料庫,加上保留舊客戶的個人資料時間過長,因而違反《私隱條例》第26條(資料刪除)和《私隱條例》附表1的保障資料第2(2)原則(資料保留)。
私隱專員已向香港寬頻送達執行通知,以糾正及防止違規情況。私隱專員指令香港寬頻:
-
制定清晰的程序,訂明系統遷移後刪除不再需要的資料庫內的個人資料的步驟、時限和監察措施;
-
制定清晰的資料保留政策,訂明客戶及服務申請者個人資料的保留期限,不得超過將其保存以貫徹該資料被使用於或會被使用於的目的所需的時間;
-
制定清晰的資料保安政策,訂明定期檢視用戶權限及遠程接達服務的保安措施;
-
實施有效的措施,確保有關員工知悉和執行上述政策及程序;及
-
根據制訂的資料保留政策,刪除所有超過保留期限的客戶及服務申請者的個人資料。
私隱專員黃繼兒在報告中指出,現時《私隱條例》並無強制機構在發生資料外洩事故後必須通報有關監管機構或資料當事人。儘管如此,香港寬頻仍能在發現事故後盡快通報私隱專員及通知受影響的客戶,並於事發後執行及承諾採納糾正措施,此實屬良好的舉措。私隱專員同時指出機構應奉行問責原則,將數據管治和管理以至數據道德倫理(包括尊重 、互惠和公平)納入企業管治之中,並從最高管理層做起,由上而下在機構內貫徹執行有關保障個人資料的政策。
-完-