◆私隐专员钟丽玲昨日公布数码港个人资料外泄事件的调查报告，指由五项缺失导致；并对各机构提出五项建议。香港文汇报记者涂穴摄

私隐署勒令两月内补镬研修例引入行政罚款

香港数码港电脑系统于去年8月遭国际黑客组织Trigona入侵，逾1.3万人的个人资料遭外泄。香港个人资料私隐专员公署昨日公布事故的调查报告，发现数码港涉及五大缺失，包括违反私隐条例两原则，例如资料保留政策规定求职者资料只保存一年，但数码港却保留远至2016年的求职者资料；数码港的保安审计频率不足，亦欠缺有效的侦测措施，使黑客入侵逾一周才被发现，等等。该署已指示数码港两个月内纠正，若再次违规，将是刑事罪行。有立法会议员批评，事件暴露条例如无牙老虎，有必要加强罚则，提高阻吓力，又建议引入网络安全法等（见另稿）。◆香港文汇报记者吴健怡

自称Trigona 的黑客组织去年入侵数码港电脑系统，网络保安系统却一直未察觉，直至逾一周后接获勒索信息才发现，导致13,632人的个人资料被盗取，包括近8,000名与雇佣有关人士，并涉及5,292名求职者及已离职者的资料（包括姓名、身份证的号码或副本、银行账户号码、医疗报告等）。

无启用多重认证功能

个人资料私隐专员公署昨日公布事件调查报告。私隐专员钟丽玲表示，该事件由五项缺失导致（见表）。今次网络攻击的起因是由于黑客取得数码港一个具管理员权限的账户凭证，并透过远端桌面连接进入数码港的网络，导致多个伺服器及网络储存装置被入侵，涉及13个Windows系统及两台虚拟伺服器。

黑客又利用权限，成功停止资讯系统在事发时配备的一款反恶意软件功能，使黑客能自由地游走于系统中。

鍾麗玲表示，數碼港使用具規模的資訊系統儲存大量個人資料，卻僅依賴一款反惡意軟件，明顯不足夠及不成比例，而且數碼港也未有為遠端存取資料啟用多重認證功能，否則就可阻止黑客透過管理員賬戶遠端進入網絡。

經調查後，公署裁定數碼港在事件中違反私隱條例6項保障資料原則之中的兩項，包括未有確保個人資料保存時間不超過其使用目的的所需時間；以及未確保其持有個人資料受保障而不受未獲准許或意外洩漏，被查閱、處理及刪除等。

她舉例說，數碼港的資料保留政策列明，求職者資料只會保存一年，但公署從接獲投訴及查詢發現，數碼港外洩的個人資料中，包括早於2016年的求職者資料，數碼港事後亦未能解釋保留資料的原因。

此外，數碼港每兩年為資訊系統作保安審計，以評估所有資訊系統有否漏洞，但事發前最近一次審計是2021年底，亦沒有規定在其中一個受事件影響的系統啟用前，作風險評估或獨立保安審計，屬明顯缺失。

當事者損失需交證據

公署就事件共接獲65宗查詢及33宗投訴，私隱條例規定如資料當事人因機構違規而蒙受損失，可提出民事索償，但一切需視乎有無足夠證據。公署已對數碼港發出「執行通知」，要求兩個月內糾正所有漏洞，聘請獨立保安專家最少每年檢視系統，以及委任保障資料主任，適時對系統進行風險評估，及適時刪除個人資料。

雖然數碼港違反條例的兩大原則，又造成逾萬人受影響，但只要數碼港按公署要求進行修正，無須受到處分；只有當數碼港再次違規，才屬刑事罪行。

被問及條例是否無牙老虎？鍾麗玲表示，公署正與政府檢視修訂私隱條例，包括加強罰則及引入行政罰款，「我覺得唔應該係小修小補咁修訂，應該整個修。」

數碼港資料外洩五項漏洞

1. 欠缺有效的偵測措施，導致未能偵測黑客以暴力攻擊其資訊系統並獲取具管理員權限的賬戶憑證，繼而進行勒索軟件攻擊及竊取個人資料。

2. 沒有為遠端存取資料啟用多重認證功能，導致黑客能利用獲取的賬戶憑證透過遠端桌面連接進入數碼港的網絡竊取個人資料。

3. 保安審計不足，未能適時應對資訊科技的變化及網絡安全的風險。

4. 政策欠具体，未能让员工有具体的网络保安框架可依循。

5. 不必要地保留个人资料，没有在保留期届满后删除所收集得的个人资料，导致四成受影响人士的私隐外泄。

◆资料来源：香港个人资料私隐专员公署

编辑：铭笙