消委會電腦系統被黑客入侵,懷疑員工及月刊訂閱者等的個人資料可能外洩。個人資料私隱專員鍾麗玲譴責黑客入侵行動,並表示強烈關注事件,截至今午5時,公署接獲相關的1宗投訴及8宗查詢。鍾麗玲指昨早接獲消委會通報,現正向消委會進行初步查詢,視乎修復系統的進度,提供的資料等,再決定是否啟動調查,而現階段亦很難判斷有否違規情況。上月數碼港亦被黑客入侵,個人資料私隱專員公署交代調查仍是初步階段,會否懲處是言之尚早,而截至今午5時,接獲相關的24宗投訴及52宗查詢。
機構須採取切實可行措施保障個人資料
鍾麗玲提醒機構必須遵守《個人資料(私隱)條例》,有責任採取所有切實可行的步驟,確保機構持有的個人資料受到保障,不會在不獲授權下被意外查閱或使用,她提醒所有機構應防範於未然,定期進行資料保安風險評估,審視數據保安系統,增強網絡安全意識,並採取保安措施加強安全度,防範系統受惡意攻擊,包括使用防火牆軟件、反惡意軟件、進行滲透測試等,如發現漏洞要即時使用修補程式。
而因應資料的保密性及敏感性,機構應考慮將儲存及傳送中的資料加密,亦建議機構適時刪除不再需要或過期的個人資料。而萬一發生事故,機構需盡快通知署方,讓署方審視損害情況及協助受影響人士,有需要時會啟動調查、發表報告、要求更正違規的地方等。署方因應近期事故,會再加大力度作宣傳教育,令機構提高安全意識。
公署會研究修例保障個人資料
對於消委會指,求職者的資料會保存2年,員工的資料則會保留7年,個人資料私隱專員公署指有發出人力資源資料保存期限,表面看符合指引,之後會審視情況及法律,評估有否需要調整期限。署方亦和政府在修例上緊密合作,包括強制性要求作資料外洩通報,同時會在罰則上再作研究。
至於公署本身的網絡安全措施,鍾麗玲指是跟從政府資訊科技總監辦公室的指引,採取一系列保安措施,包括有防火牆、定期做滲透測試、個人資料影響評估、個人資料私隱管理系統等。