香港银行学会外泄逾11万人资料 私隐专员公署指保安明显不足、态度宽松

个人资料私隐专员公署今早发表2022年工作报告，指去年收到3848宗投诉，比前年的3534宗上升15%，主要是由于《2021年个人资料（私隐）（修订）条例》下打击「起底」新条文自前年年底生效后，相关投诉个案有所增加。

个人资料私隐专员公署表示，完成对香港银行学会一宗资料外泄事故的调查，认为学会在资料保安风险管理及个人资料保安措施方面存在明显不足，导致伺服器遭勒索软件攻击，逾1.3万名会员及约10万名非会员的个人资料外泄，除了姓名、联络资料、雇主名称及职位外，部分人士的身份证号码、信用卡号码、专业认证详情及考试结果亦受影响。

私隐专员公署网页图片

首宗新「起底」法例下的判刑案件被告何牧华(中间白衫者) (资料图片)

个人资料私隐专员锺丽玲 (资料图片)

个人资料私隐专员公署高级个人资料主任卢廸凡 (资料图片)

调查源于学会向公署通报资料外泄事故，指名下6台载有个人资料的伺服器遭勒索软件攻击及恶意加密，一名黑客威胁学会将伺服器内的档案上载至互联网，并要求学会支付赎金解锁已加密的档案。

公署认为，学会欠缺有效的资料保安风险管理机制，在保养关键的网络设备上对服务提供者采取宽松态度，导致载有个人资料的资讯系统的保安措施无法有效应对网络安全风险和威胁，违反了《私隐条例〉保障资料第 4(1)原则有关个人资料保安的规定，私隐专员已向学会送达执行通知，指示学会纠正以及防止有关违规情况再发生。

署理首席个人资料主任（合规及查询）郭正熙表示，2021及2022年向公署通报的资料外泄事故中，约3成属黑客入侵事故，受影响市民由约60万增至逾100万。公署已于去年8月发出《资讯及通讯科技的资料保安措施指引》，今日再出版浓缩版单张，主要对象为资料使用者，特别是中小企。

另外，「起底刑事化」条文生效日至去年12月31日，公署合共处理2128宗「起底」个案，期间就114宗展开刑事调查，32宗转介予警方继续跟进。拘捕行动方面，截至同日，公署展开共12次拘捕行动，12人被捕，一半「起底」原要为金钱纠纷，其次是工作纠纷。已有5人被落案起诉，2人被裁定罪名成立，其中1人已被判处8个月即时监禁。

个人资料私隐专员锺丽玲指，公署去年接获14929宗公众查询个案，按年下跌15%，28%为收集及使用个人资料，各有8%属《私隐条例》的应用及处理与雇佣关系相关的个人资讯私隐，7%为公署处理投诉的政策。其中707宗有关套取市民个人资料作诈骗用途的查询，较前年的557宗增加26%。

资料外泄事故增加 约3成属黑客入侵

资料外泄事故通报则有105宗，41宗来自公营机构及64宗来自私营机构，涉及黑客入侵、遗失文件或便携式装置、经电邮或邮件意外披露个人资料、雇员违规及系统错误设定等。公署进行了392次循规审查，较前年的377次增加4%。

私隐公署表示，完成对香港银行学会一宗资料外泄事故的调查，认为学会在资料保安风险管理及个人资料保安措施方面存在明显不足，导致伺服器遭勒索软件攻击，逾1.3万名会员及约10万名非会员的个人资料外泄，除了姓名、联络资料、雇主名称及职位外，部分人士的身份证号码、信用卡号码、专业认证详情及考试结果亦受影响。

去年传封锁Telegram 专员：未考虑进一步行动

去年曾传出公署研究封锁涉及不少起底讯息的应用程式Telegram，锺丽玲表示不便评论个别平台，但如果任何平台有「起底」讯息，公署都会致力移除并发出通知书，避免继续流传网络，对受害人构成持久及严重的影响。

回顾过去一年工作，她透露有频道不止需要移除讯息，更要整个频道移除，认为执法既然已经有效，未需要考虑进一步行动。她又认为，自「起底」条文生效后有关投诉上升属正常现象，因条例赋予公署新权力，亦相信一系列推广宣传让市民得知自身权益。她指，转介予警方的个案不算多，有可能涉及其他罪行，例如不诚实使用电脑、诈骗、恐吓等。

记者 黎倩彤

《星岛头条》APP经已推出最新版本，请立即更新，浏览更精彩内容：https://bit.ly/3yLrgYZ