鍾麗玲(左)及助理私隱專員(合規、環球事務及研究)陳仲文(右)講述又一村花園俱樂部個案的調查報告。
近年不少機構會推出會員制,為顧客提供優惠,將一般顧客轉化為忠誠顧客。但儲存會員資料一旦資訊保安措施不足,易成為黑客攻擊的目標。個人資料私隱專員公署就又一村花園俱樂部有限公司資料外洩事故完成調查,公署裁定,涉事俱樂部未有採取切實可行的資料保安措施,違反個人資料私隱條例。
又一村花園俱樂部於2025年10月31日向私隱專員公署通報,指出儲存於伺服器內的俱樂部管理系統檔案遭勒索軟件加密,致系統無法運作。該系統負責管理會員資料,並由外判服務供應商提供及維護,供應商透過遠端存取軟件連接伺服器作技術支援。
公署調查發現,事發時相關遠端存取軟件屬已過時版本,並存在已知保安漏洞,黑客利用漏洞竊取服務供應商的帳戶憑證,繼而直接進入存放大量個人資料的伺服器。此外,伺服器長時間保持登入狀態,俱樂部亦沒有實施額外身份認證措施,加上防毒軟件及防火牆均已過時,未能有效偵測和阻止黑客活動。
前會員資料保留逾7年
外洩事件合共影響9,045名資料當事人,包括1,553名活躍會員、1,723名附屬卡持有人、1,313名前會員及4,456名前附屬卡持有人。當中資料包括姓名、香港身份證號碼及/或護照號碼、出生日期、電郵地址、聯絡電話及住址等。公署亦發現,俱樂部部分前會員資料被保留超過7年,未有制定清晰的資料保留政策。
私隱專員鍾麗玲指出,又一村花園俱樂部在事故發生前,未有採取適當及充分的機構性及技術性資訊保安措施,違反私隱條例保障資料第4(1)原則,亦違反第2(2)原則有關資料保存期限的規定。公署已向俱樂部送達執行通知,要求糾正違規情況並防止再次發生。
事故發生後,俱樂部已通知受影響人士,並停止使用有漏洞的遠端存取軟件,全面更新防毒軟件和防火牆,加強遠端存取監控,以及加密伺服器內的個人資料。
資料使用者負有首要責任
鍾麗玲提醒,會員及客戶資料庫通常載有大量及持續更新的個人資料,易成為黑客攻擊的高風險目標。黑客一旦入侵,往往會竊取大量個人資料並將之出售用作不法用途。她強調,即使系統由外判服務供應商負責,資料使用者在法律上仍負有首要責任,機構應在合約中訂明明確的資訊保安要求。公署建議機構應為存取資料實施有效的用戶身分認證,包括使用強密碼及多重身分認證;定期更新軟件並作保安風險評估、漏洞掃描及系統審計,以識別並修補保安弱點;及為員工提供定期資訊保安培訓等。
另外,現今兒童多從小開始接觸網上學習平台、社交媒體平台、網絡遊戲及其他網上服務。私隱專員公署發布發布《保護兒童網上私隱——給家長及老師的實用貼士》,建議家長及老師,積極參與兒童網上活動,善用平台提供的家長操控措施監察兒童的網上活動;提醒兒童,在使用網上平台或與人工智能工具互動時,不要過度分享個人資料,培養兒童尊重他人私隱的意識;老師在網上分享有關資訊時,亦應以兒童的最佳利益為首要考慮,並先諮詢他們的意願;應警惕兒童有關網騙、網絡欺凌、人工智能深度偽造技術的濫用及「起底」等風險,讓兒童了解互聯網上無永久「刪除」鍵。
醫管局洩5.6萬人資料 接6投訴
至於醫管局早前外洩5.6萬名病人資料,私隱專員公署指,截止周二接6宗投訴及8宗查詢,已展開調查,並與機構代表開會,要求提交資料及採取補救措施。公署亦可提供相關講座及培訓。
ADVERTISEMENT
至抵會員價,名額有限,請火速訂位!
