私隱公署：數碼港違規逾期保留資料 未能有效偵測黑客攻擊

私隱專員公署公布數碼港資料外洩事故調查報告，指數碼港未有採取足夠和有效措施，保障資訊系統安全，也未有及時根據保留資料政策，刪除已屆保存期限的資料。

資料圖片(圖片來源:星島日報)

公署認為，數碼港未有採取切實可行步驟，確保涉事個人資料受保障和不受未獲准許或意外的查閱和處理等，以及確保資料保存時間，不超過使用資料實際所需時間，違反相關規定。

公署說，數碼港資訊系統欠缺有效偵測措施，導致未能有效偵測黑客以暴力攻擊資訊系統，令黑客能成功獲取具管理員權限的帳戶憑證，並進行勒索軟件攻擊和竊取儲存系統內的個人資料。

示意圖。設計圖片

公署說，數碼港沒有為遠端存取資料啟用多重認證功能、核實獲授權可遠端登入數碼港網絡的用户身分；又指對資訊系統進行的保安審計不足，未能適時應對資訊科技變化和網絡安全風險。

私隱專員鍾麗玲認為，數碼港是一間具規模的機構，恆常持有並處理大量不同人士的個人資料，持分者和公眾會合理期望數碼港投入足夠資源，確保系統和數據安全，因此底採取足夠保安措施。

私隱專員鍾麗玲。資料圖片

公署表示，私隱專員已向數碼港送達執行通知，指示糾正違反事項，又建議公司設立個人資料私隱管理系統，並委任保障資料主任，適時對系統進行風險評估，及適時刪除個人資料，防止類似違規再次發生。

資料圖片

數碼港去年向公署通報資料外洩事故，電腦系統和檔案伺服器被勒索軟件攻擊和惡意加密，事故導致超過13000人的個人資料外洩。

私隱專員公署檢視10個網上旅遊平台包括相關網站及應用程式，收集個人資料情況，發現所有被檢視的平台都追蹤用戶在平台進行的活動，涉及資料包括用戶位置或瀏覽紀錄等。

香港個人資料私隱專員公署FB圖片

公署檢視的10個平台分別是Agoda、東瀛遊、Expedia、金怡假期、美麗華旅遊、新華旅遊、專業旅運 、Trip.com 、永安旅遊及縱橫遊。

公署指出，10個平台均取得用戶在直接促銷方面的同意，但新華旅遊只提供捆綁式的同意選項；部分雖然有提供選項，但預設為同意。公署亦發現，10個平台都有在私隱政策述明收集用戶個人資料目的，但只有7個平台有說明其資料保留政策。

個人資料私隱專員鍾麗玲說，歡迎部分網上旅遊平台在檢視過程中，已積極改善提供的保障私隱訊息及用戶界面設計。

永安旅遊網頁截圖

公署向網上旅遊平台營運者提出多項建議，包括只收集必需的個人資料、提高人工智能處理個人資料透明度、避免要求用戶捆綁式同意將個人資料用於直銷。至於用戶，應提供最少量的個人資料，刪除不再使用的帳戶，減低資料外洩風險。

公署又留意到，最近有騙徒冒充一些網上旅遊平台，在社交媒體上開設偽冒專頁，進行詐騙。公署呼籲市民在網上購買旅遊產品前，先檢查相關網站等的真確性，對商戶的收款名稱及銀行賬戶號碼等提高警覺，並應透過官方渠道購買旅遊產品。