品牌管理公司外泄逾十万会员及员工资料　私隐署指存在多项缺失裁定违例

發佈日期: 2025-03-31 16:16

港澳

粵

已複製連結

一间品牌管理公司外泄十多万会员和员工个人资料，私隐专员公署裁定违反《私隐条例》。

为国际时装和美容品牌作管理及分销的俊思集团，去年五月向私隐专员公署通报称，收到黑客勒索讯息，威胁出售其窃取的会员个人资料。

公署调查后发现，当时黑客入侵的是俊思一个临时帐户，并利用伺服器上的保安漏洞，进一步入侵其他载有个人资料的伺服器，导致超过12.7万人资料外泄，包括多间时装品牌使用的顾客会籍、ICARD的约10万名会员，及2.7万名Brooks Brothers的会员姓名、电邮、电话等，亦有14名雇员资料外泄。

公署认为俊思存在四项缺失，包括未在修复系统后，适时删除临时帐户，导致黑客有机会入侵，操作系统亦三年无更新，亦无作定期检查防火墙日志，及对载有个人资料的系统进行足够保安风险评估，无法及时侦测资讯系统遭入侵，裁定违反《私隐条例》有关个人资料保安的规定。

私隐专员公署首席个人资料主任(合规及查询)郭正熙表示：「这次外泄事件明显由于人为疏忽，及欠缺足够保安措施，保障其资讯系统引致。如果及时删除临时帐户，及停止使用已终止支援的操作系统，今次事件相当有机会可以避免。」

另外，公署发表雇员使用生成式人工智能(AI)的指引清单，建议机构在制定内部政策时，列明获准使用人工智能的用途、可输入到AI工具的资讯种类和数量，例如是否包括个人资料，亦应要求雇员不得利用AI进行非法或有害活动。