個人資料私隱專員公署(私隱專員公署)今日(2月9日)發表2022年的工作報告及一份有關香港銀行學會資料外洩的調查報告。
1. 投訴個案
私隱專員公署在2022年收到的投訴個案為3,848宗,比2021年的3,354宗上升15%,主要是由於《2021年個人資料(私隱)(修訂)條例》下打擊「起底」新條文自2021年年底生效後,「起底」的投訴個案有所增加。95%的投訴個案涉及投訴私營機構或個別人士(3,656宗);其餘5%涉及投訴公共機構或政府部門(192宗)。
2. 回應查詢
私隱專員公署在2022年接獲14,929 宗公眾查詢個案,比2021年的17,651宗減少 15%,公署平均每個月處理超過1,200宗查詢個案。
因應透過偽冒電話、電郵或短訊誘騙個人資料的個案呈上升趨勢,私隱專員公署已於2022年9月設立「個人資料防騙熱線」3423 6611,處理懷疑誘騙個人資料的查詢或投訴,截至12月底防騙熱線共收到168個來電。公署於2022年全年接獲707宗有關套取市民個人資料作詐騙用途的查詢,比2021年的557宗增加26%。
3. 個人資料外洩事故
在2022年,私隱專員公署接獲105 宗資料外洩事故通報,當中41宗來自公營機構及64宗來自私營機構。這些外洩事故涉及黑客入侵、遺失文件或便攜式裝置、經傳真、電郵或郵件意外披露個人資料、僱員違規、及系統錯誤設定等。
私隱專員公署於2022年進行了392次循規審查,較2021年的377次增加4%。
4. 修訂《私隱條例》以打擊「起底」行為
《私隱條例》下規管「起底」行為的條文於2021年10月8日生效,將「起底」行為刑事化,並賦予個人資料私隱專員(私隱專員)就有關罪行的刑事調查及檢控權。
執法行動
由有關條文生效日至2022年12月31日,私隱專員公署合共處理2,128宗「起底」個案。期間,私隱專員公署就114宗個案展開刑事調查。公署亦將32宗案件轉介予警方繼續跟進。
至於拘捕行動方面,私隱專員公署截至2022年12月31日合共展開了12次拘捕行動,包括2021年一宗及2022年11宗(包括一宗與警方的聯合拘捕行動),共12人被捕。被捕人士將事主「起底」的原因主要為金錢糾紛(50%)、工作糾紛(25%)及感情糾紛(17%)。被捕人士將事主「起底」的途徑為社交媒體平台及即時通訊軟件(92%)及張貼單張(8%)。
截至2022年12月31日,已有五名被捕人士被落案起訴,被裁定罪名成立的有兩人,當中已被判刑的有一人。該名人士被法院判處八個月即時監禁。私隱專員公署歡迎法庭的裁決,認為上述判刑具阻嚇力,有助遏止「起底」行為。其他已落案起訴的案件仍處於司法程序中。
停止披露通知
由2021年10月相關條文生效至2022年12月31日,私隱專員公署合共向26個平台發出了1,500個停止披露通知,涉及17,703個「起底」信息,遵從率超過90%。
5. 有關香港銀行學會的調查報告
私隱專員公署已經完成對香港銀行學會(學會)一宗資料外洩事故的調查,並於今日(2月9日)發表調查報告。事件源於學會向公署通報資料外洩事故,指其名下六台載有個人資料的伺服器遭勒索軟件攻擊及惡意加密,一名黑客威脅學會將該些伺服器內的檔案上載至互聯網,並要求學會支付贖金,為已被加密的檔案解鎖。事件導致超過13,000名會員及約10萬名非會員的個人資料外洩。
根據調查所獲得的證據,私隱專員鍾麗玲認為學會在資料保安風險意識及個人資料保安措施方面存在以下三項不足:
-
資料保安風險管理欠佳;
-
資訊系統管理有欠妥善;及
-
未適時啟用多重認證功能。
在這個案中,私隱專員發現學會在資料保安風險管理及個人資料保安措施方面存在明顯不足,導致載有個人資料的伺服器遭勒索軟件攻擊。私隱專員認為學會欠缺有效的資料保安風險管理機制,在保養關鍵的網絡設備上對服務提供者採取寬鬆態度,導致載有個人資料的資訊系統的保安措施無法有效應對網絡安全風險和威脅。私隱專員經調查後認為學會沒有採取所有切實可行的步驟以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,因而違反了《私隱條例》保障資料第 4(1)原則有關個人資料保安的規定。私隱專員已向學會送達執行通知,指示學會糾正以及防止有關違規情況再發生。
私隱專員亦希望藉此報告,向使用資訊及通訊科技處理個人資料的機構作出下述建議:
-
提高警覺,防止黑客攻擊,定時進行風險評估;
-
設立個人資料私隱管理系統,循規使用及保留個人資料,並有效管理個人資料的整個生命週期;
-
委任專責人員作為保障資料主任;
-
提升資訊系統管理,包括制訂有效的修補程式管理程序,盡早修補保安漏洞;
-
確實執行數據備份,制訂數據備份政策,定期備份含有重要資料的系統;及
-
妥善監督服務提供者。
下載《調查報告:香港銀行學會伺服器遭勒索軟件攻擊》:
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r23_6319_c.pdf
6. 有關資料保安措拖的單張
在2022年,私隱專員公署共接獲105宗由機構通報的資料外洩事故,其中超過四分之一涉及黑客入侵。而受資料外洩事故影響的香港市民亦由2021年的約60萬大增至2022年逾100萬。有見及此,私隱專員公署亦於今日出版介紹《資訊及通訊科技的保安措施指引》的單張,突顯各項資料保安建議措施的重點。
單張涵蓋指引建議的七大類別保安措施:
-
資料管治和機構性措施;
-
風險評估;
-
建議一系列技術上及操作上的保安措施;
-
資料處理者的管理;
-
資料保安事故發生後採取及時和有效的補救措施;
-
定期監察、評估及改善資料保安政策的遵從情況;及
-
使用雲端服務、自攜裝置,及便攜式儲存裝置的相應資料保安措施。
下載《指引》:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/guidance_datasecurity_c.pdf
下載《指引》的單張:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/data_security_measures_leaflet_c.pdf
私隱專員鍾麗玲講解2022年工作報告。
署理首席個人資料主任(合規及查詢)郭正熙講解香港銀行學會的調查報告。