香港寬頻於上周發現黑客入侵已停用的客戶資料庫伺服器,致38萬名客戶資料被盜,令公眾譁然。事隔一周,香港寬頻行政總裁楊主光終承認公司做漏招,涉事資料庫既無加密處理,亦無將伺服器處於離線狀態,令黑客有機可乘。公司現備存360萬名客戶資料,當中四分一、90萬名舊客資料將於3個月內刪除,亦會一改以往保存客戶資料7年的做法,即若客戶終止合約,僅會保存資料半年,其後便會刪除。
楊主光強調,黑客入侵只是個別事件。(林俊源攝)
多達38萬名客戶資料被盜,楊主光稱,有22萬屬IDD客戶,其餘則是固網電話服務客戶,他亦受牽連,至於受影響客戶加入香港寬頻的時間,以及黑客盜取資料的數目,則未有資料提供。他又說,目前未接獲黑客勒索或其他要求,相信今次只是個別事件。
為避免事件重演,香港寬頻昨急急公布多項「補漏招」安排,在現有360萬客戶資料中,有90萬舊客資料將於3個月內清除,而其餘270萬名現有客戶資料,其中較為敏感的身份證號碼及信用卡資料將會特別處理。身份證號碼會隨機刪去6位數字中的其中兩個及括號內數字,不保存完整身份證號碼,而客戶信用卡號碼的16位數字,將會刪除其中6個數字,並以「代號(TOKEN)」取代信用卡號碼以完成與銀行之間的交易,新客戶在完成攜號轉台或銀行付款等程序後,亦會作出同樣保存資料的安排。
後知後覺? 楊主光:做得不足
香港寬頻早前指因應《稅務條例》保存客戶資料7年,楊主光稱,經了解有關法例要求後,原來只需保留「財務資料」7年,卻不包括「客戶資料」,遂決定改變保存資料的政策為半年。若客戶一旦決定終止合約,其個人資料僅會保留半年,方便跟進客戶查詢。楊主光未有正面回應是否對條例要求後知後覺,只稱行內大部分公司仍沿用7年的標準,但承認公司做得不足,惟有任何不足,也是最先願意改進的公司,惟更改有關做法仍需先諮詢相關監管機構意見。
至於會否賠償受影響客戶,楊主光說,如客戶證明因資料外洩事件而招致個人損失,公司願意按法例要求作出賠償。
私隱署接11宗投訴
個人資料私隱專員公署說,不宜評論個別機構擬推行的任何涉及個人資料保存的政策,又指私隱專員就事件已展開循規審查。公署會按照《個人資料(私隱)條例》的規定及既定程序跟進事件。截至昨日,該署接獲相關查詢共30宗,投訴則有11宗。
通訊事務管理局辦公室表示,根據目前掌握的資料,因事件並無實質影響電訊服務的提供及網絡的運作,現未有證據顯示事件涉違反《電訊條例》或牌照條款的規定。就香港寬頻提出有關收集及儲存客户資料安排的最新建議,該公司須確保有關做法不影響相關電訊服務的提供及正常營運,並符合相關法例要求和妥善處理日後可能出現的糾紛。
倡業界檢視保留資料期限
香港資訊科技商會榮譽會長方保僑表示,香港寬頻將保存客戶資料政策由7年大減至半年,算是亡羊補牢及回應社會關注,建議儲存敏感資料的電訊業、旅遊業界等,應重新檢視儲存的期限是否合適,亦要在業務操作及個人私隱上取得平衡。
【限時激減】800 amFUN 2盒!1200 amFUN 4盒!
