11月14日，香港私隐专员公署发表两份与个人信息安全及数据安全相关的调查报告：（一）医思健康透过统一系统互用旗下品牌客户的个人资料；及（二）快图美（远东）有限公司（快图美）数据库遭勒索软件攻击。

其报告情况总结如下：

一、医思健康：透过统一系统互用旗下品牌客户的个人资料

个人资料私隐专员在调查此个案后，发现医思健康在收购汇儿及纽约医疗后，将后两者客户的个人资料储存与其系统中，并将客户的部分个人资料在医思健康旗下使用该系统的28个品牌之间互用，使有关资料可被不同品牌的前线职员查阅。客户在投诉过程中也表示，他们本来只向个别品牌提供的个人资料，在不知情的情况下，被披露及转移给其他品牌的职员。

私隐专员认为，此举明显与当初收集两位当事人的个人资料的目的不一致，也不符当事人对其个人隐私资料的合理期望。

基于上述情况，私隐专员认为医思健康违反了《个人资料（私隐）条例》有关使用（包括披露或转移）个人资料的规定。

私隐专员已向医思健康发出执行通知，指示医思健康纠正其违反事项，以及防止同类违反的行为再次发生。

私隐专员亦希望借此报告，对其他营运多元品牌的机构作出以下六项建议：

• 向客户提供清晰易明的收集个人资料声明，让他们了解机构收集其个人资料的目的及其个人资料可能转移给哪些类别的人士；
• 为新目的使用（包括披露或转移）客户的个人资料前须先取得客户的同意；
• 按照业务的范畴及职员的职权，适当设定职员查阅或存取客户个人资料的权限；
• 在构思或推行任何涉及处理大量个人资料的计划前，应先进行私隐影响评估，以及根据评估结果对有关影响及风险采取充分保障个人资料私隐的措施；
• 实施个人资料私隐管理系统，把个人资料私隐保障纳入机构的管治责任；
• 委任保障资料主任，确保机构遵从《私隐条例》的规定及推行私隐管理系统，建立尊重个人资料私隐的文化。

二、快图美：数据库遭勒索软件攻击

随着数码化的蓬勃发展，网络攻击已经成为大多数企业所面临的主要风险之一。无论规模大小，机构均可能随时受到黑客的攻击。

私隐专员公署已经完成对快图美数据库遭勒索软件攻击的调查，并于今日发表调查报告。事件源于2021年11月1日公署收到快图美的资料泄露事故通报，表示其网上商店的数据库于2021年10月26日遭勒索软件攻击及恶意加密。事件共影响54万余名会员及7万余名曾在2020年11月16日至2021年10月26日期间于快图美网上商店订购产品及／或接受服务的客户。

根据调查所获得的证据，私隐专员发现快图美在以下方面存在严重不足，导致该数据库在可避免的情况下被黑客利用保安漏洞入侵系统并存取个人资料：

• 错误评估安全漏洞的风险；
• 资讯系统管理有欠妥善；
• 拖延启用多重认证功能。

在该个案中，私隐专员发现快图美在个人资料风险意识及个人资料保安措施方面存在严重不足，导致公司的数据库遭勒索软件攻击。私隐专员认为快图美没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响，因而违反了《私隐条例》有关个人资料保护的规定。私隐专员已向快图美送达执行通知，指示快图美纠正违规情况以及防止违规情况再发生。

私隐专员也希望借此报告提醒处理顾客个人资料的机构须特别注意以下范畴：

• 应时刻提高警觉，防止黑客攻击，定时进行风险评估，以检视黑客攻击对系统可能带来的影响；
• 设立个人资料私隐管理系统，循规处理个人资料，并有效处理个人资料的整个生命周期；
• 委任专责人员作为保障资料主任，监察《私隐条例》的遵从；
• 提升资讯系统管理，包括制订有效的修补程式管理程序，尽早修补保安漏洞；
• 妥善记录内部通讯，以便日后检讨时参考。

*来源：香港个人资料私隐专员公署

END

往

期

回

顾

科技部印发《“十四五”国家高新技术产业开发区发展规划》

一图读懂 | 《中国上市公司数字经济白皮书2022》

《2022数字交易白皮书》重磅发布！

全文｜华为首次发布《华为隐私保护治理白皮书》

欢迎投稿

邮箱：[email protected]

参与更多讨论，请添加小编微信加入交流群

原文始发于微信公众号（数据安全与隐私计算）：香港私隐专员公署发表两份个人信息安全及数据安全调查报告！