香港银行学会泄11.3万人个人资料　私隐专员公署发通知促纠正

私隐专员公署今日（9日）发表香港银行学会资料外泄事故的调查报告，事件导致超过11.3万人的个人资料外泄。公署认为学会违反了《私隐条例》保障资料第4(1)原则有关个人资料保安的规定，已向学会送达执行通知，指示学会纠正以及防止有关违规情况再发生，两个月内提交报告。

香港银行学会早前向公署通报资料外泄事故，指其名下六台载有个人资料的伺服器遭勒索软件攻击及恶意加密，一名黑客威胁学会将该些伺服器内的档案上载至互联网，并要求学会支付赎金，为已被加密的档案解锁，共约过1.3万名会员及约10万名非会员的个人资料外泄，当中包括姓名、联络资料、雇主名称及职位，部份人士的身份证号码、信用卡号码、出生日期、专业认证详情及考试结果亦受影响。

公署批学会风险意识及个资保安措施不足

公署认为，事件源于学会未有制定修补程式管理程序，以致未有为受影响的系统安装修补程式，导致黑客利用相关漏洞，首先取得保密插口层虚拟私有网络（Secure Sockets Layer Virtual Private Network, SSL VPN）帐户及密码，在入侵系统取得系统管理员权限并执行勒索软件后，成功加密伺服器。学会亦未有为SSL VPN启用多重认证，以加强相关系统保安。

个人资料私隐专员钟丽玲表示，学会在资料保安风险意识及个人资料保安措施方面存在不足，包括资料保安风险管理欠佳、资讯系统管理有欠妥善，及未适时启用多重认证功能。钟丽玲表示，个人资料私隐专员公署已送达执行通知，要求银行学会提升资讯科技保安系统，指示学会纠正以及防止有关违规情况再发生，并于两个月内提交报告，确保学会的个人资料储存符合要求。

署理首席个人资料主任（合规及查询）郭正熙指，学会欠缺有效的资料保安风险管理机制，在保养关键的网络设备上对服务提供者采取宽松态度，导致载有个人资料的资讯系统的保安措施无法有效应对网络安全风险和威胁。

私隐专员经调查后认为，学会没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响，因而违反了 《私隐条例》保障资料第4(1)原则有关个人资料保安的规定。私隐专员已向学会送达执行通知，指示学会纠正以及防止有关违规情况再发生。

促设保障资料主任

郭正熙建议，机构使用资讯及通讯科技处理个人资料时，应提高警觉，防止黑客攻击，定时进行风险评估，并设立个人资料私隐管理系统，循规使用及保留个人资料，而且有效管理个人资料的整个生命周期。

公署亦建议，机构委任专责人员作为保障资料主任，提升资讯系统管理，包括制订有效的修补程式管理程序，尽早修补保安漏洞，并且确实执行数据备份，制订数据备份政策定期备份含有重要资料的系统，同时妥善监督服务提供者。