私隐公署裁定数码港违例　泄逾1.3万人资料促两周内纠正

数码港电脑系统去年遭黑客入侵，大量个人资料遭外泄，私隐专员公署调查发现，有超过1.3万名员工和求职者的个人资料泄漏，当中包括超过5000名求职者的个人资料，部份超过法例容许的保留期限。而涉及的个人资料包括姓名、身份证号码、身份证的副本、护照号码，亦有部分人士的财务资料，例如银行帐户号码 、医疗报告、照片、雇佣资料，亦有部份人的信用卡资料，私隐专员钟丽玲形容，披露的个人资料范围相当大。

公署调查指出，数码港无采取所有切实可行的步骤，确保涉事个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响。钟丽玲指，数码港是具规模的机构，持有大量人士个人资料，公众有合理期望，数码港投入足够资源在数据安全上，裁定数码港违反《私隐条例》保障资料原则下，有关个人资料保安和保留的规定，向数码港送达执行通知，指示数码港在两个月内纠正。

公署调查指，黑客在去年8月6日成功透过“暴力攻击”，即以程式“撞密码”的形式攻击，取得一个具有管理员权限的帐户，进入数码港的网络，继而再取得另外三个具有管理员权限的帐户的控制权，并成功关闭系统反恶意软件的功能，再加密资料作勒索。直至8月14日，黑客加密系统内的资料，数码港才发觉。

调查指，数码港资讯系统欠缺有效侦测措施，令黑客成功获取具管理员权限的帐户凭证，继而进行勒索软件攻击及窃取个人资料。调查又发现，数码港没有为远端存取资料启用多重认证功能，以核实用户身分。

钟丽玲指出，事件中4成受影响人士，即超过5200人是求职者或已离职雇员，反映数码港亦没有根据内部政策，删除不必要保留的个人资料，如果数码港有按政策和步骤删除资料，受事件影响的人数会大大减少。

钟丽玲解释，根据数码港资料保留政策，只会保留求职者资料1年，雇员资料则于相关人士在职时才会保留，但调查发现部分资料远于2016年保留至今，数码港亦未能有解释为何未按政策删除资料。钟丽玲指，《私隐条例》下若资料被泄的当事人蒙受损失，可以透过民事诉讼索偿，受影响人士须提供证据，如有需要，公署会提供法律意见、调解和协助索偿等服务。公署指出，事件发生至今共收到65宗查询，以及33宗投诉。

公署要求数码港在两个月内，彻底检视个人资料的资讯系统的安全和保障措施，确保系统内无恶意软件和保障的漏洞，以及配备有效的侦测措施；聘请独立资讯保安专家对资讯系统进行最少每年一次的评估和保安审计；销毁逾期保留的个人资料等，并要在两个月内就向私隐专员提交文件和证明完成相关工作。

数码港在记者会前发新闻稿，指董事局早前成立的专责小组，已经完成工作并向董事会作汇报，而数码港亦已向私隐专员公署提交调查报告。

数码港指，专责小组的调查发现，数码港在内部资讯保安及数据管理方面存在改善空间，指数码港已加强多项措施，提升各个营运层面的资讯系统保安及数据安全的水平和意识。专责小组主席伍志强指，事件发生以来，专责小组与管理层致力支援受影响人士，尽力减低潜在影响，并全面配合有关部门与私隐专员公署的调查。

数码港又指，会加强内部审查，定期检视执行资讯保安措施的情况，并向董事局辖下的审计委员会汇报，提升相关管治水平。

数码港的电脑系统去年8月遭黑客组织Trigona入侵，到9月份，黑客在“暗网”公开逾400GB企业内部资料，当中包括数码港公司的董事局会议资料、合作公司资料和招标及合约文件，亦包括员工个人资料，包括相片、身分证副本、银行单据，并载有员工的薪金资料等。数码港日前聘任郑松岩出任行政总裁，明天将履新，接替出任行政总裁六年的任景信。