时装品牌管理公司“俊思”外泄12.7万会员资料　专员公署裁定违反《私隐条例》

个人资料私隐专员公署完成调查“俊思管理有限公司”去年5月发生的资料外泄事故，裁定俊思违反《私隐条例》有关个人资料保安的规定。

俊思集团(IMAGINE X GROUP)隶属The Lane Crawford Joyce Group旗下，是一间品牌管理及分销公司，在中国大陆管理与分销Gucci、Prada、Cartier及Salvatore Ferragamo等奢侈品品牌。外泄事故涉及俊思营运的两个会员计划ICARD及Brooks Brothers，其中ICARD涵盖7个品牌，包括Birkenstock、Paul Smith、Club Monaco及Apivita等。

事故中有超过10万名ICARD会员、2.7万名Brooks Brother会员及14名现职及前雇员资料外泄，包括他们的姓名、电话号码、电邮地址、出生月份，及雇员的护照副本等，目前未有资讯显示外泄资料在暗网被加密或售卖。

公署认为俊思未有在修复系统故障后适时删除临时帐户，属于员工疏忽；又继续使用在2020年12月后已被终止安全更新的操作系统，令服务器暴露在风险中超过3年；资讯系统欠缺有效的侦测措施，以及保安风险评估及审计不足。公署认为假如俊思于事发前及时删除该临时帐户及停用已终止支援的操作系统，相当有机会可以避免资料外泄。

公署已在上周五向俊思送达执行通知，要求删除不必要帐户，制定有关管理帐户的指引及步骤，全面审视服务器是否已停用终止支援的软件，并要求在两个月内提交改善措施的证明文件。

公署指，俊思在外泄事件发生后已通知所有受影响人士，并进行暗网监控及设立特定电邮地址以处理相关会员查询；亦已删除相关被入侵的帐户、更换已终止支援的应用程式服务器，以及安装端点侦测及回应方案，以进行即时侦测及分析。