香港寬頻(01310)去年4月發現一個已停用的資料庫遭入侵,導致近38萬名客戶及服務申請者的個人資料外洩。個人資料私隱專員公署發表調查結果,認為該公司違反《私隱條例》有關資料刪除及保留的規定。
報告指出,涉事資料庫本應在2012年完成系統遷移後被刪除,卻因人為疏忽而被保留下來,並繼續連接內部網絡,該公司遺忘涉事資料庫的存在,期間亦沒有更新資料庫的修補程式及將資料作加密處理。
同時,香港寬頻在系統遷移後沒有作全面及審慎的檢查,以致未有適時刪除涉事資料庫;在事發前,該公司沒有仔細考量舊客戶個人資料的保留期限和制定資料保留的內部指引,以及保留舊客戶的資料時間過長。
公署向該公司送達執行通知,要求制訂清晰的程序,訂明系統遷移後,刪除不再需要的資料庫內個人資料的步驟、時限和監察措施,以及確保有關員工知悉和執行有關政策及程序。