个人资料私隐专员调查报告:从电邮系统入侵事故汲取的教训
简介
2022年2月17日,个人资料私隐专员(「私稳专员」)就日经中国(香港)有限公司(「该公司」)的电邮系统被黑客恶意入侵的事件发表调查报告(「调查报告」)。私隐专员在调查报告中交代这宗网络安全事故的调查结果、就网络安全及保障个人资料向机构提出建议,以及就该公司违反《个人资料(私隐)条例》(香港法例第486章)(《私隐条例》)保障资料原则第4(1) 项发出执行通知的详情。
调查
2021年3月17日,该公司向私隐专员通报,指其6名员工的电邮帐户被黑客入侵,电邮被转发至多个不明电邮地址,导致超过1,600名客户的个人资料外泄,包括客户姓名、电邮地址、公司名称、职位、电话号码及信用卡资料(「该事故」)。
接获该公司通报资料外泄后,私隐专员对该公司进行调查及合规审查,发现该公司的电邮系统保安不足,容易受到未经授权入侵。私隐专员特别指出该公司电邮系统的以下弱点:
1. 密码管理欠佳:6个被黑客入侵的电邮帐户均采用相同密码,即电邮服务供应商在建立电邮帐户时预设的密码。此外,预设密码由一组短的数字组成,本身就是弱密码。
2. 未有管理已过时的电邮帐户:其中一个被入侵的电邮帐户属于该公司一名已退休的员工,该电邮已无人使用,但该公司未有检视及管理不活跃或休眠的电邮帐户。
3. 缺乏针对远端存取电邮系统的保安措施:该公司没有利用保安监察及警报功能,就可疑的登入情况提示系统管理员。
4. 资讯系统的保安措施不足:该公司缺乏处理敏感个人资料的政策、程序和措施。
总括而言,私隐专员发现该公司未有采取所有切实可行的步骤,以确保其客户的个人资料不受未经准许或意外的查阅、处理或使用。
违反保障资料原则
由于在该事故中外泄的客户个人资料的收集、持有、处理及使用由该公司控制,故该公司属于《私隐条例》所定义的资料使用者。
因此,该公司有责任遵守《私隐条例》的规定,包括6项保障资料原则,特别是根据保障资料原则第4(1) 项,资料使用者须采取所有切实可行的步骤,以确保由其持有的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用(包括黑客入侵事故)所影响。
鉴于上述调查结果,私隐专员裁定该公司因未有采取所有切实可行的步骤,以确保其客户的个人资料不受未经准许或意外的查阅、处理或使用,因此违反《资料条例》保障资料原则第4(1)项。
执法行动
由于该公司违反《私隐条例》,私隐专员已向该公司发出执行通知,指示该公司采取纠正步骤及预防措施,以提升其电邮系统,从而防止类似违规情况再次发生:
1. 改善资料保安政策,并实施强密码管理政策。
2. 建立定期删除已逾期或过时的电邮帐户的机制,及定时监察及审核(包括内部审核)电邮帐户的使用情况。
3. 制订有效措施以确保员工遵守已修订的资料保安政策。
4. 聘请独立的资料保安专家对该公司的系统(包括电邮系统)保安进行定期检视及审核。
5. 为员工制定最新的资料保安培训及教育,妥善记录培训进度,并评估培训的参与及有效程度。
6. 在执行通知的日期起计两个月内提供证明文件,证明已完成上述第 (1) 至 (5) 项。
私隐专员给机构的建议
私隐专员建议机构采取以下措施,以更妥善地保障客户的个人资料安全:
1. 建立个人资料私隐管理系统:维持一套妥善的系统,管理个人资料由收集至销毁的整个生命周期,并确保能够迅速应对资料外泄事故。
2. 实施电邮通讯政策:就雇员可透过电邮传送的个人资料种类制定规程。
3. 采取保安措施:防止个人资料遭未经授权的拦截,例如将资料加密。
4. 提升雇员保障个人资料私隐的意识:雇员应在资料保护程序方面获得充足的培训。
总结
调查报告旨在提醒香港的机构履行法定责任,保护他们收集到的个人资料。机构应该对网络攻击时刻保持警觉,制定有效的网络安全措施,并定期更新网络安全政策。机构应该实施有效的密码管理政策,停用无人使用的过时电邮帐户,并定期为员工提供充足的资料保安培训。
如有查询,欢迎与我们联络: |
E: techcyber@onc.hk T:
(852) 2810 1212 香港中环康乐广场8号交易广场第三期19楼 |
注意:以上内容涉及十分专门和复杂的法律知识及法律程序。本篇文章仅是对有关题目的一般概述,只供参考,不能构成任何个别个案的法律意见。如需进一步的法律咨询或协助,请联络我们的律师。 |
ONC柯伍陈律师事务所发行
© 2022 |