桂冠論壇及芭蕾舞團沒有可行步驟致資料外洩 私隱專員已指示糾正

私隱專員公署完成對香港桂冠論壇委員會及香港芭蕾舞團,去年資料外洩事故的調查,裁定他們沒有採取切實可行步驟,確保涉事個人資料受保障,違反《私隱條例》。私隱專員已向桂冠論壇和芭蕾舞團送達執行通知,指示採取措施糾正違規事項。 桂冠論壇於去年9月向公署通報,電腦系統及檔案伺服器遭受勒索軟件攻擊,外洩事件影響的人數超過8100人,包括電子通訊訂閱戶、青年科學家申請人、邵逸夫獎得獎者等。公署說,桂冠論壇的資訊系統管理有欠妥善、對服務供應商採取的資料保安措施缺乏監察、欠缺資訊保安政策及指引和缺乏適當的數據備份方案,都是導致外洩事件發生的主因。 至於芭蕾舞團,在去年9月底遭受勒索軟件攻擊,估算受外洩事故影響的人數或超過3萬7千多人,包括芭蕾舞團的僱員、求職者、門票訂購者等。公署認為,芭蕾舞團相關伺服器的運作軟件過時、相關伺服器在服務供應商進行系統遷移過程中被不必要地曝露於互聯網、對服務供應商採取的資料保安措施缺乏監察、亦沒有對資訊系統進行保安評估及保安審計。