download BusinessFocus app
香港逾100萬人資料外洩 私隱署批銀行學會等保安不足 惟懲罰輕欠阻嚇力

香港逾100萬人資料外洩 私隱署批銀行學會等保安不足 惟懲罰輕欠阻嚇力

Investment
By thomas.chan on 09 Feb 2023
Digital Editor
熱愛新聞工作,充滿好奇心。從投資分析、慳家攻略到AI應用都有濃厚興趣。期望藉著多年以來的工作經驗,為BF這嶄新的財經新聞頻道上出一分力。

繼香格里拉酒店集團及快圖美疑公司系統遭黑客入侵致大量客戶個人資料外洩後,再有香港機構因忽視保安,致遭黑客有機可乘。香港銀行學會早前向個人資料私隱專員公署(下稱私隱署)通報,指6台載有個人資料的伺服器遭勒索軟件攻擊及惡意加密,致超過11萬名會員及非會員的個人資料外洩,私隱署批評學會的網絡保安太寬鬆,致黑客有機可乘。連同快圖美及香格里拉事件在內,黑客單是從上述三公司已盜走香港逾100萬人的個人資料。事件再度突顯現時《私隱條例》如無牙老虎,因私隱署無法即時懲罰因疏忽導致大量市民私隱外洩的公司,除非洩私隱公司不依從公署的執行通知作出改善,否則當局無法作出罰款或刑事檢控,故法例訂明的最高刑罰形同虛設。

香港銀行學會電腦遭入侵致11萬客戶資料外洩,私隱專員公署批評學會電腦保安不足。Photo from BusinessFocus

私隱專員公署去年曾解釋,若不慎洩露市民個人資料的公司不依從公署發出的執行通知,將構成刑事罪行,最高可被罰款五萬元及監禁兩年。但公署承認現時條例的阻嚇力不足,正審視是否可加大罰則,未來會向政府提交建議。此外,公署亦承諾除了處理投訴,公署亦會留意網上及傳媒報道,主動出擊調查引起公眾關注的私隱事件。

據私隱署最新發表的2022年工作報告,去年收到3848宗投訴,按年增加15%,主要是由於《私隱條例》下打擊「起底」新條文自前年年底生效後,相關投訴個案有所增加。自「起底刑事化」新條文生效起至去年底,公署合共處理2128宗「起底」個案或投訴,並就其中114宗展開刑事調查,32宗轉介予警方繼續跟進。其間公署展開共12次拘捕行動,12人被捕,至於疑犯違法「起底」的原因,有一半為金錢糾紛,其次是工作糾紛。暫時已有5人被落案起訴,2人被裁定罪名成立,其中1人更被判處8個月即時監禁。

資料外洩事故通報則有105宗,41宗來自公營機構,64宗來自私營機構,涉及黑客入侵、遺失文件或便攜式裝置、經電郵或郵件意外披露個人資料、僱員違規及系統錯誤設定等。公署又進行了392次循規審查,較前年的377次增加4%。

快圖美及香格里拉集團亦曾遭黑客入侵致客戶資料外洩。Photo from BusinessFocus

私隱署並透露,已完成對香港銀行學會一宗資料外洩事故的調查,該學會指6台載有個人資料的伺服器遭黑客的勒索軟件攻擊及惡意加密,導致超過1.3萬名會員及約10萬名非會員的個人資料外洩,有黑客要求學會支付贖金解鎖已加密的檔案,並威脅說若學會拒絕,將會把伺服器內的檔案上載至互聯網公開。私隱署經調查後認為,學會在資料保安風險管理及個人資料保安措施方面存在明顯不足,導致伺服器遭勒索軟件攻擊,外洩除了包括市民的姓名、聯絡資料、僱主名稱及職位外,部分人士的身份證號碼、信用卡號碼、專業認證詳情及考試結果亦受影響。公署認為,學會欠缺有效的資料保安風險管理機制,在保養關鍵的網絡設備上對服務提供者採取寬鬆態度,導致載有個人資料的資訊系統的保安措施無法有效應對網絡安全風險和威脅,違反了《私隱條例》,私隱專員已向學會送達執行通知,指示學會糾正以及防止有關違規情況再發生。

不過據近年的事例,即使機構疏忽致大量客戶資料外洩,仍未見私隱署能夠作出處分或檢控。像前年11月,相片沖曬公司快圖美遭黑客入侵電腦及以勒索軟件加密檔案,致多達62萬名顧客及會員的個人資料包括姓名電話地址等外洩。私隱署調查後發現,快圖美所購用的防火牆曾於2019年出現漏洞,惟快圖美明知而未有按照生產商指示,對保密插口層虛擬私有網絡(SSL VPN)採取停用、更新或多重認證等措施,結果終遭黑客入侵,私隱署以「事件令人遺憾」及發出執行通知,為事件作結。

至去年9月底,香格里拉酒店集團證實旗下8間酒店的客人數據庫在去年5月至7月被黑客入侵。攻擊者繞過集團的信息安全監察系統,非法進入客人數據庫,導致部分檔案的客戶個人資料外洩。在8間涉事酒店中,有3間位於香港。私專署其後介入調查,並透露有29萬香港客戶受影響,公署曾指對於香格里拉集團在知道黑客入侵後逾兩個月才通報公署及相關客戶表示失望。

此外,去年11月私隱署曾發表調查報告,揭發「醫思健康」涉違規互用旗下28個品牌客戶的資料,涉及約108萬人。調查發現,醫思健康在收購匯兒及紐約醫療後,把兩公司的客戶之個人資料自動儲存於系統中,並在旗下使用該系統的28個品牌之間互用,令有關資料可供不同品牌的的職員查閱,但事前卻沒有通知及取得投訴人同意,涉違反《私隱條例》,公署其後向醫思健康發出執行通知,要求糾正及防止同類行為再發生。

Text by BusinessFocus Editorial

免責聲明:本網頁一切言論並不構成要約、招攬或邀請、誘使、任何不論種類或形式之申述或訂立任何建議及推薦,讀者務請運用個人獨立思考能力自行作出投資決定,如因相關言論招致損失,概與本公司無涉。投資涉及風險,證券價格可升可跌。

【了解更多最快最新的財經、商業及創科資訊】

👉🏻 追蹤 WhatsApp 頻道 BusinessFocus

👉🏻 下載 BusinessFocus APP

👉🏻 立即Follow Instagram businessfocus.io

最新 金融投資熱話專頁 MarketFocus