日期: 2022年2月17日
私隱公署發表2021年工作報告及一份調查報告
個人資料私隱專員公署(私隱公署)今日(2月17日)發表2021年的工作報告,以及一份調查報告。
投訴個案
私隱公署在2021年收到的投訴個案為3,151宗,比2020年的4,862宗下跌35%,主要是由於「起底」個案及源於單一事件的投訴個案有所減少。93%的投訴個案涉及投訴私營機構或個別人士;其餘7%涉及投訴公共機構或政府部門。
外洩個人資料事故
在2021年私隱公署接獲機構通報外洩個人資料事故的數目為140宗,較去年增加36%。資料外洩事故涉及黑客入侵、系統設定有誤、僱員未經授權查閱系統、遺失文件或便攜式裝置、經電郵或郵遞方式意外披露個人資料,以及意外銷毁個人資料等。
私隱公署於2021年進行了377次循規審查,較2020年的344次增加10%。
修訂《個人資料(私隱)條例》以打擊「起底」行為
為加強打擊侵犯個人資料私隱的「起底」行為,《2021年個人資料(私隱)(修訂)條例》(《修訂條例》)於2021年10月8日生效,將「起底」行為刑事化,並賦予私隱專員就有關罪行的刑事調查及檢控權。
私隱公署於2021年12月13日,就一宗涉嫌違反《修訂條例》第64(3A)條「在未獲同意下披露個人資料」的罪行展開首次拘捕行動。
私隱公署於2021年共處理842宗「起底」的個案,當中包括接獲投訴或主動發現的個案。2021年的個案比2020年的1,036宗減少19%。《修訂條例》賦予私隱專員法定權力要求停止披露「起底」訊息,私隱公署於《修訂條例》生效後,至2022年1月31日向12個平台發出超過350個停止披露通知,涉及超過1,700個「起底」信息。
除了執法外,私隱公署亦已展開一系列的宣傳及教育活動,以提高公眾對《修訂條例》的認識及遵從相關規定,包括播放短片、電視宣傳片及電台廣播、派發宣傳單張及海報、舉辦網上講座、在社交平台宣傳等。截至2022年1月31日,私隱專員及私隱公署同事已進行了16場有關《修訂條例》的講座,共2,668人次參加。
個人資料私隱專員(私隱專員)鍾麗玲強調:「市民在網上或社交平台發佈或轉載任何看來是『起底』的訊息前,都要三思,切勿以身試法。」
調查報告
另一方面,私隱公署已經完成對日經中國(香港)有限公司(日經)的電郵系統遭黑客入侵的調查,並於今日發表調查報告。事件源於2021年3月17日私隱公署收到日經的資料外洩事故通報,指其六個員工的電郵帳戶遭黑客入侵,導致發送至該些電郵帳戶的電郵被轉發至兩個不明的電郵地址。事件導致超過1,600名客戶的個人資料外洩。
根據調查所獲得的證據,私隱專員發現日經的電郵系統在事故發生時在保安方面明顯地存在以下四項不足:
-
薄弱的密碼管理
-
保留已過時的電郵帳戶
-
電郵系統欠缺針對遠端存取的保安措施
-
欠缺針對資訊系統的保安措施
私隱專員經調查後認為日經未有採取所有切實可行的步驟保障其持有的客戶個人資料不受未獲准許的或意外的查閱、處理、刪除或使用所影響,因而違反了《個人資料(私隱)條例》保障資料第 4(1)原則有關個人資料保安的規定。私隱專員已向日經送達執行通知,指示日經糾正以及防止有關違規情況再發生。
私隱專員亦希望藉此報告,提醒備有客戶個人資料電郵系統的機構需加強警惕,以防止網絡攻擊影響其電郵系統。機構應制定適當的系統安全政策、措施和程序,並涵蓋以下領域:
-
設立個人資料私隱管理系統;
-
委任保障資料主任;
-
訂定電郵通訊政策;
-
足夠保安措施;及
-
培育工作場所的私隱友善文化
下載《調查報告:「日經中國(香港)有限公司的電郵系統遭黑客入侵」》:
https://www.pcpd.org.hk/tc_chi/enforcement/commissioners_findings/files/r22_7840_c.pdf
-完-