2026-04-23 HKT 12:16
私隱專員公署發表有關又一村花園俱樂部資料外洩事故的調查報告,涉及俱樂部存放於伺服器內的俱樂部管理系統檔案遭勒索軟件加密而無法運作,合共影響9045人。公署進行調查,私隱專員鍾麗玲表示失望,裁定又一村花園俱樂部沒有採取所有切實可行的步驟,確保個人資料受保障,違反《私隱條例》規定,已送達執行通知,指示採取措施糾正違規事項,防止再次發生。報告指出,又一村花園俱樂部事發後已通知受影響的人士,並採取多項補救措施。
外洩的個人資料包括姓名、香港身份證號碼及或護照號碼、出生日期、電郵地址、聯絡電話及地址。鍾麗玲說,事件缺失是由於俱樂部欠缺資訊保安的機構性措施,使用過時並存在保安漏洞的遠端存取軟件,伺服器的遠端存取欠缺用戶身分認證措施,俱樂部亦使用過時的防毒軟件及防火牆,並過長地保留個人資料,包括保留800多名前會員及3000多名附屬卡持有人的個人資料超過7年。
鍾麗玲指出,黑客一旦入侵會員及客戶資料庫,往往會竊取大量個人資料,並出售相關資料用作不法用途。她提醒機構,會員及客戶資料屬於機構的重要資產,也是網絡攻擊的高風險目標,機構應採取主動的策略,定期檢視資訊系統保安措施的成效,並投放足夠資源以保障會員及客戶的個人資料,從而遵從《私隱條例》的規定,符合資料當事人的合理期望。
編輯:譚佩貞
