鍾麗玲(中)指桂冠論壇和芭蕾舞團無採取切實可行的步驟,確保個人資料受保障,裁定違反私隱條例。
私隱專員公署完成對香港桂冠論壇委員會及香港芭蕾舞團,去年9月資料外洩事故的調查,裁定他們沒有採取切實可行步驟,確保涉事個人資料受保障,違反《私隱條例》。私隱專員已向桂冠論壇和芭蕾舞團送達執行通知,指示採取措施糾正違規事項。
桂冠論壇於去年9月向公署通報,電腦系統及檔案伺服器遭受勒索軟件攻擊,外洩事件影響的人數有8,122人,包括電子通訊訂閱戶、青年科學家申請人、邵逸夫獎得獎者等。公署指,桂冠論壇的資訊系統管理有欠妥善,包括其防火牆的韌體已過時並存在多嚴重漏洞、防毒軟件的病毒資料庫自2019年起不曾更新;對服務供應商採取的資料保安措施缺乏監察、欠缺資訊保安政策及指引和缺乏適當的數據備份方案,都是導致外洩事件發生的主因。
至於芭蕾舞團,在去年9月底遭受勒索軟件攻擊,估算受外洩事故影響的人數或超過3.7萬人,包括芭蕾舞團的僱員、求職者、門票訂購者等。公署認為,芭蕾舞團相關伺服器的運作軟件過時、相關伺服器在服務供應商進行系統遷移過程中被不必要地暴露於互聯網、對服務供應商採取的資料保安措施缺乏監察、亦沒有對資訊系統進行保安評估及保安審計。
私隱專員鍾麗玲裁定桂冠論壇和芭蕾舞團無採取所有切實可行的步驟,以確保涉事的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,違反《個人資料(私隱)條例》的規定,已發出執行通知,指示作出糾正。