又一村花园俱乐部外泄逾9千个人资料　私隐公署指违反规定

私隐专员公署发表有关又一村花园俱乐部资料外泄事故的调查报告，涉及俱乐部存放于服务器内的俱乐部管理系统档案遭勒索软件加密而无法运作，合共影响9045人。公署进行调查，私隐专员钟丽玲表示失望。

私隐专员公署裁定又一村花园俱乐部没有采取所有切实可行的步骤，确保个人资料受保障，违反《私隐条例》规定，已送达执行通知，指示采取措施纠正违规事项，防止再次发生。报告指出，又一村花园俱乐部事发后已通知受影响的人士，并采取多项补救措施。

外泄的个人资料包括姓名、香港身份证号码及或护照号码、出生日期、电邮地址、联络电话及地址。钟丽玲说，事件缺失是由于俱乐部欠缺资讯保安的机构性措施，使用过时并存在保安漏洞的远端存取软件，服务器的远端存取欠缺用户身分认证措施，俱乐部亦使用过时的防毒软件及防火墙，并过长地保留个人资料，包括保留800多名前会员及3000多名附属卡持有人的个人资料超过7年。

钟丽玲指出，黑客一旦入侵会员及客户数据库，往往会窃取大量个人资料，并出售相关资料用作不法用途。她提醒机构，会员及客户资料属于机构的重要资产，也是网络攻击的高风险目标，机构应采取主动的策略，定期检视资讯系统保安措施的成效，并投放足够资源以保障会员及客户的个人资料，从而遵从《私隐条例》的规定，符合资料当事人的合理期望。