【本報港聞部報道】香港寬頻一個已停用的客戶資料庫去年4月中發生客戶資料庫遭入侵,導致近38萬名客戶及服務申請者的個人資料外洩事件,個人資料私隱專員黃繼兒昨日就事件發表調查報告,指出遭入侵的資料庫其實早應刪除,由於人為疏忽才保留下來,認為香港寬頻違反《私隱條例》有關資料刪除及保留的規定,故已向香港寬頻送達執行通知,糾正違規情況及防止事故重演。
報告指出,事發時香港寬頻將客戶資料儲存在三個資料庫內,遭黑客入侵的資料庫已停用,存有截至2012年的客戶和服務申請者個人資料,包括姓名、電郵地址、通訊地址、電話號碼、身份證號碼和信用卡資料,受影響人數近38萬,但該資料庫本應在2012年完成系統遷移後刪除,卻因人為疏忽被保留,並繼續連接內部網絡。
報告又說,香港寬頻遺忘涉事資料庫存在,期間沒有更新資料庫修補程式及作加密處理,另外在系統遷移後未有作全面及審慎檢查,以致未適時刪除資料庫;此外,香港寬頻事發前沒有仔細考量舊客戶個人資料的保留期限和制定資料保留內部指引。私隱專員認為,其沒有採取所有切實可行步驟刪除已不再需要的涉事資料庫,加上保留舊客戶個人資料時間過長,故違反《私隱條例》。
私隱專員表示,已向香港寬頻送達執行通知,指令其制定清晰程序,訂明系統遷移後刪除不再需要的資料庫內個人資料步驟、時限和監察措施;並制定清晰的資料保留政策,訂明客戶及服務申請者個人資料保留期限,以及制定資料保安政策。 |