【本报港闻部报道】香港宽频一个已停用的客户资料库去年4月中发生客户资料库遭入侵,导致近38万名客户及服务申请者的个人资料外洩事件,个人资料私隐专员黄继儿昨日就事件发表调查报告,指出遭入侵的资料库其实早应删除,由于人为疏忽才保留下来,认为香港宽频违反《私隐条例》有关资料删除及保留的规定,故已向香港宽频送达执行通知,纠正违规情况及防止事故重演。
报告指出,事发时香港宽频将客户资料储存在三个资料库内,遭黑客入侵的资料库已停用,存有截至2012年的客户和服务申请者个人资料,包括姓名、电邮地址、通讯地址、电话号码、身份证号码和信用卡资料,受影响人数近38万,但该资料库本应在2012年完成系统迁移后删除,却因人为疏忽被保留,并继续连接内部网络。
报告又说,香港宽频遗忘涉事资料库存在,期间没有更新资料库修补程式及作加密处理,另外在系统迁移后未有作全面及审慎检查,以致未适时删除资料库;此外,香港宽频事发前没有仔细考量旧客户个人资料的保留期限和制定资料保留内部指引。私隐专员认为,其没有採取所有切实可行步骤删除已不再需要的涉事资料库,加上保留旧客户个人资料时间过长,故违反《私隐条例》。
私隐专员表示,已向香港宽频送达执行通知,指令其制定清晰程序,订明系统迁移后删除不再需要的资料库内个人资料步骤、时限和监察措施;并制定清晰的资料保留政策,订明客户及服务申请者个人资料保留期限,以及制定资料保安政策。 |