【Now新聞台】消委會去年遭黑客入侵,私隱專員公署完成調查,發現消委會欠缺足夠保安措施,包括未有啟用多重認證等,導致超過450人資料外洩,裁定消委會違反私隱條例,要求兩個月內糾正。
消委會電腦系統去年9月疑遭黑客入侵,超過450人資料被外洩,包括289名投訴人、26名資訊科技服務供應商員工,以及162名現職及離職員工。
私隱專員公署完成調查,批評消委會有5項缺失,包括沒有為遠端存取資料啟用多重認證功能,亦沒妥善設定攔截網絡安全威脅的軟件,同時欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料,導致289名投訴人的資料被洩露。
個人資料私隱專員鍾麗玲:「機構是不應該將真實個人資料儲存在測試的伺服器內,如果消委會在事發前已經制定相關政策,禁止或防止員工在這些測試伺服器內儲存個人資料,明確告訴給員工聽相關的政策,以及制定程序定期審視、測試伺服器內的資料,我認為就可以減低人為錯誤或疏忽的風險。」
公署裁定消委會違反私隱條例,已發出執行通知,要求兩個月內糾正問題,包括聘請資訊安全專家加強網絡保安措施等。
鍾麗玲:「公署現時的權力就是可以發出執行通知,如果消費者委員會違反執行通知,就是一個刑事罪行,我們就會依循刑事檢控跟進事件。這個和其他機構都是一樣。」
消委會回應指,重視公署建議,將持續提升保安系統,以及數據安全。消委會強調,受影響的個人資料非常有限,並不涉及信用卡、銀行帳戶及財務資料,至今無發現外洩資料被公開。
