品牌管理公司外洩逾十萬會員及員工資料　私隱署指存在多項缺失裁定違例

一間品牌管理公司外洩十多萬會員和員工個人資料，私隱專員公署裁定違反《私隱條例》。

為國際時裝和美容品牌作管理及分銷的俊思集團，去年五月向私隱專員公署通報稱，收到黑客勒索訊息，威脅出售其竊取的會員個人資料。

公署調查後發現，當時黑客入侵的是俊思一個臨時帳戶，並利用伺服器上的保安漏洞，進一步入侵其他載有個人資料的伺服器，導致超過12.7萬人資料外洩，包括多間時裝品牌使用的顧客會籍、ICARD的約10萬名會員，及2.7萬名Brooks Brothers的會員姓名、電郵、電話等，亦有14名僱員資料外洩。

公署認為俊思存在四項缺失，包括未在修復系統後，適時刪除臨時帳戶，導致黑客有機會入侵，操作系統亦三年無更新，亦無作定期檢查防火牆日誌，及對載有個人資料的系統進行足夠保安風險評估，無法及時偵測資訊系統遭入侵，裁定違反《私隱條例》有關個人資料保安的規定。

私隱專員公署首席個人資料主任(合規及查詢)郭正熙表示：「這次外洩事件明顯由於人為疏忽，及欠缺足夠保安措施，保障其資訊系統引致。如果及時刪除臨時帳戶，及停止使用已終止支援的操作系統，今次事件相當有機會可以避免。」

事件發生後，俊思已通知所有受影響人士，並進行暗網監控等，提升系統安全。

另外，公署發表僱員使用生成式人工智能(AI)的指引清單，建議機構在制定內部政策時，列明獲准使用人工智能的用途、可輸入到AI工具的資訊種類和數量，例如是否包括個人資料，亦應要求僱員不得利用AI進行非法或有害活動。