桂冠论坛及芭蕾舞团资料外泄 私隐专员公署指软件过时已要求纠正

个人资料私隐专员公署今日（8日）发表对香港桂冠论坛委员会及香港芭蕾舞团资料外泄事故的调查。私隐专员公署指桂冠论坛和芭蕾舞团资料外泄事故，均违反《私隐条例》规定，已发出执行通知，指示作出纠正。

私隐专员公署发表对桂冠论坛及芭蕾舞团资料外泄事故的调查。资料图片

桂冠论坛资料外泄事故  逾8千人受影响

桂冠论坛于去年9月26日遭黑客入侵，导致储存在桂冠论坛的一组伺服器及七个端点装置的档案被加密，存放于另一组伺服器的备份数据亦遭黑客毁坏，8,122人资料被外泄，当中包括邵逸夫奖得奖者、电子通讯订阅户和青年科学家等。

根据公署调查显示，桂冠论坛的资讯系统管理有欠妥善，相关系统防火墙韧体有多项严重漏洞，防毒软件病毒资料库自2019年未有曾更新，防毒软件的病毒资料库已过时，亦未为远端存取资料启用多重认证功能等。桂冠论坛对服务供应商的资料保安措施欠缺监察，亦未有资讯保安政策和指引，而欠缺适当的数据备份方案。

私隐专员锺丽玲。资料图片

逾3万人资料或外泄

而香港芭蕾舞团于去年9月29日遭受勒索软件攻击，但无法确实受影响档案内的资料，受外泄事件影响的人士数目可能为37,840名，包括芭蕾舞团的雇员、求职者、门票订购者等，外泄资料包活香港身份证号码、护照号码、相片、出生日期、等。公署指，发现相关伺服器运作软件已过时，服务供应商迁移系统时，亦不必要地曝露在互联网，大幅增加遭受攻击的风险。芭蕾舞团对服务供应商欠缺监察，也没有对资讯系进行保安评估和审计。

私隐专员锺丽玲裁定桂冠论坛和芭蕾舞团没有采取所有切实可行的步骤，以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响，违反《个人资料（私隐）条例》的规定，已通发出执行通知，指示作出纠正。