香港宽频去年泄38万客户资料　私隐公署判违《私隐条例》通知纠正

香港宽频去年四月因伺服器被黑客入侵，近38名客户个人资料外泄。香港个人资料私隐专员公署今日公布调查报告，指涉事资料库本应在2012年停用并删除，惟却因“人为疏忽”而被保留下来，加上保留旧客户的资料时间过长，做法违反有关《私隐条例》规定，已向公司送达执行通知，以纠正违规情况及防止事故重演。

私隐公署的报告揭示，事发时香港宽频将客户资料储存在三个资料库内，而遭黑客入侵的资料库是一个已停用的资料库，存有截至2012年客户和服务申请者的个人资料，包括姓名、电邮地址、通讯地址、电话号码、身份证号码和信用卡资料。

人为疏忽保留已停用资料库

报告指出，涉事资料库本应在2012年完成系统迁移后被删除，却因“人为疏忽”而被保留下来，并继续连接内部网络。

而公司却遗忘涉事资料库的存在，期间亦没有更新资料库的修补程式及将资料作加密处理。香港宽频在系统迁移后没有作全面及审慎的检查，以致未有适时删除涉事资料库。公司在事发前，并无仔细考量旧客户个人资料的保留期限，制订资料保留的内部指引，以致事发前保留旧客户的资料时间过长。

私隐专员黄继儿认为香港宽频没有采取所有切实可行的步骤，删除已不再需要的涉事资料库，加上保留旧客户的个人资料时间过长，因而违反《私隐条例》第26条（资料删除）和《私隐条例》附表1的保障资料第2(2)原则（资料保留）。

私隐专员已向香港宽频送达执行通知，以纠正及防止违规情况，包括制定清晰的程序，订明系统迁移后，删除不再需要的资料库内的个人资料的步骤、时限和监察措施，亦要订明资料保留期限等，并确保有关员工知悉和执行上述政策及程序等。

应检讨向违规者判处行政罚款

现时私隐专员未获授权判处罚款，不过，报告指，鉴于近年资料外泄事故频生，加上留意到其他法定机关获赋予行政罚款的职能和权力，认为社会应重新讨论，是否应向违反《私隐条例》附表 1 的保障资料原则的资料使用者，判处行政罚款。