數碼港資料外洩涉逾1.3萬人 私隱公署裁違例促兩個月內糾正

數碼港電腦系統去年遭黑客入侵，大量個人資料遭外洩，私隱專員公署調查發現，有超過1.3萬名員工和求職者的個人資料洩漏，當中包括超過5000名求職者的個人資料，部份超過法例容許的保留期限。而涉及的個人資料包括姓名、身份證號碼、身份證的副本、護照號碼，亦有部份人士的財務資料，例如銀行帳戶號碼 、醫療報告、照片、僱傭資料及信用卡資料等。

私隱專員公署批評資料外洩範圍相當大，批評數碼港欠缺足夠措施保障系統安全，又逾期保留資料，裁定數碼港違反《私隱條例》保障資料原則下，有關個人資料保安和保留的規定，指示數碼港在兩個月內糾正。

根據公署調查所得，數碼港去年8月6日遭黑客Trigona利用具管理員權限的帳戶，並透過遠端桌面連接進入數碼港的網絡，數碼港的多個伺服器及網絡儲存裝置受被入侵，涉及13個Windows系統及兩台虛擬伺服器，黑客又利用權限，成功停止資訊系統在事發時配備的一款反惡意軟件的功能。大約一周後，數碼港伺服器檔案遭勒索軟件攻擊及惡意加密，數碼港同日更改所有帳戶密碼，惟3日後收到勒索，之後再被攻撃，於是通知公署。

私隱專員公署指數碼港有五項缺失，包括資訊系統欠缺有效偵測措施、未有為遠端存取資料啟用多重認證功能和對資訊系統進行的保安審計不足，以至未能及早發現和阻止資料被竊取。資料私隱專員鍾麗玲表示，數碼港作為具規模的資訊系統機構，也是儲存和處理大量個人資料的機構，僅僅依賴一款反惡意軟件偵測異常活動，明顯是不足夠和不成比例。「當時數碼港並沒有啟用多重認證功能，若有啟用這個多重認證功能，我們覺得數碼港可能可阻止黑客透過有管理員權限的帳戶進入系統。」

鍾麗玲又指，數碼港的資料保留政策列明，求職者資料只會保存1年，惟公署從接獲投訴及査詢發現，數碼港外泄的個人資料中，包括早於2016年的求職者資料，數碼港事後亦未能解釋保留資料的原因。

數碼港去年8月中向公署通報事故，事隔一個月後有外國網站揭露事故後，數碼港才向公眾交代。被問到當中是否涉及通報機制缺失，鍾麗玲指現時未有條例規管機構通報事故的時限，公署事後已發信建議數碼港盡快通知受影響人士。目前私隱專員公署共接獲65宗涉及事件的查詢及33宗投訴，受影響人士可按私隱條例向數碼港索償，若過程中需查詢或協助亦可聯絡私隱公署。

棱角編輯部