私隱專員公署完成有關消委會資料外洩事故的調查,事故涉及超過450人,包括投訴人、資訊科技服務供應商員工,以及消委會現職和前員工的個人資料。
私隱專員鍾麗玲表示,事故涉及消委會的缺失,沒有採取所有切實可行的步驟以確保個人資料受保障,違反私隱條例的規定,已向消委會送達執行通知,指示糾正及防止類似違規情況再發生。
相關缺失包括沒有為遠端存取資料啟用多重認證功能、沒有妥善設定用作偵測及攔截網絡安全威脅的軟件、欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料、資訊保安政策有欠全面及具體,以及保障個人資料私隱及網絡安全意識不足。
公署提出多項建議,包括對遙距登入資訊及通訊系統使用多重身份驗證、設定穩健的網絡保安框架、定期對資訊系統進行風險評估及保安審計、建立重視數據安全的企業文化及建立有效的培訓計劃,加強員工對資料私隱的意識和能力。
消委會去年9月曾交代,電腦系統遭黑客入侵,被勒索50萬至70萬美元贖金,現職員工、前員工、家屬、《選擇》月刊訂購戶及投訴人等的資料可能外洩。
