數碼港資料外洩 私隱公署：欠缺足夠措施保障系統安全 違反《私隱條例》

【Now新聞台】數碼港去年遭黑客入侵，私隱專員公署發表調查報告，指數碼港欠缺足夠措施保障系統安全，又逾期保留個人資料，導致逾1.3萬人資料外洩，裁定公司違反《私隱條例》，公署已指示數碼港兩個月內糾正。

數碼港電腦系統去年8月遭黑客攻擊，超過400GB資料外洩，事件中有13632人受影響，當中有5292人是求職者以及離職僱員資料，受影響的個人資料包括姓名、身份證號碼、部分人銀行帳戶號碼，以及信用卡資料。

私隱專員公署發表調查報告，發現數碼港資訊系統僅依賴一款反惡意軟件偵測異常活動，同時亦未有為遠端存取資料啟用多重認證功能，導致黑客「撞密碼」後，取得具管理員權限的帳戶，竊取系統中的個人資料。

報告亦指出，數碼港不必要地保留個人資料，最長的個案，事主2016年求職，個人資料保留至事發，違反自身政策中，求職者資料只保留一年的規定。

個人資料私隱專員鍾麗玲：「未有採取足夠及有效措施保障其資料系統安全，亦未有及時根據其資料保留政策刪除已屆保存期限的資料，因而我裁定數碼港違反了《私隱條例》。」

公署已向他們發出執行通知，要求徹底檢視資訊系統安全及保安措施，實施遙距使用者多重身份認證，銷毀所有逾期保留資料等，至於現行《私隱條例》資料使用者違反規定，公署權力只可以發出執行通知，要求機構更正有關違規，如未有依從執行通知，即屬刑事罪行，公署指正與政府審視修訂條例。

個人資料私隱專員鍾麗玲：「其中一個審視的方向就是加大罰則，另外就是一個引入行政罰款的機制，我認為這次的修訂，不應該是少修少補的修訂，應該是整個條例修訂。」

數碼港發聲明指，已加強多項措施，包括提升各個營運層面的資訊系統保安及數據安全的水平和意識，強調會加強內部審查，定期檢視執行資訊保安措施。

#要聞