私隐公署发布又一村花园俱乐部资料外泄调查报告 9045人个资受影响 防毒软件过时成主因

个人资料私隐专员公署今日发布又一村花园俱乐部资料外泄事故的调查报告，事件合共影响9045名资料当事人，包括1553名活跃会员、1723名附属卡持有人、1313名前会员，以及4456 名前附属卡持有人。受影响的个人资料包括姓名、香港身份证号码及/或护照号码、出生日期、电邮地址、联络电话及地址。

调查源于又一村花园俱乐部于去年10月31日向私隐专员公署通报的资料外泄事故。事故涉及又一村花园俱乐部存放于服务器内的俱乐部管理系统档案，遭勒索软件加密而无法运作（外泄事件）。有关的俱乐部管理系统负责管理俱乐部的会员资料，而所有相关的个人资料均储存于上述服务器内，并由外判服务供应商负责提供及维护系统，服务供应商会透过专用的远端存取软件连接服务器，以提供技术支援。

事件合共影响9045名资料当事人。

个人资料私隐专员公署今日发布又一村花园俱乐部资料外泄事故的调查报告。

私隐专员钟丽玲讲解又一村花园俱乐部资料外泄事故的调查报告。私隐专员公署

调查源于又一村花园俱乐部于去年10月31日向私隐专员公署通报的资料外泄事故。又一村花园俱乐部网

助理个人资料私隐专员（合规、环球事务及研究）陈仲文。

个人资料私隐专员钟丽玲。

私隐专员钟丽玲发表《保护儿童网上私隐——给家长及老师的实用贴士》。 私隐专员公署

为协助机构，特别是中小企及非牟利机构，加强保障数据安全及网络安全，私隐专员公署今日起再度推出“数据安全套餐”。

黑客利用漏洞成功窃取供应商帐户凭证

调查发现，事发时相关远端存取软件属已过时版本，并存在已知的保安漏洞。黑客利用该漏洞成功窃取服务供应商的帐户凭证，从而直接进入储存大量个人资料的相关服务器。此外，该服务器长时间保持登入状态，俱乐部并无实施额外的身分认证措施，进一步削弱系统的保安防护。同时，俱乐部的防毒软件及防火墙均已过时，未能侦测及阻止黑客活动。

又一村花园俱乐部为一所私人、非牟利的社交及康乐机构，专门为已登记会员及宾客提供康乐设施及餐饮服务。在外泄事件发生后，又一村花园俱乐部已通知受影响的人士，并采取多项补救措施，包括停止使用存在漏洞的远端存取软件、对所有远端存取连接进行监控、将所有服器及端点的防毒软件及防火墙更新至最新版本，以及将储存于服器内的个人资料档案加密。

没有采取所有切实可行步骤保障个资

私隐专员公署就外泄事件共进行了四次查讯，并审视了俱乐部提供的资料，以及俱乐部就外泄事件的跟进及补救工作。经考虑外泄事件的情况及调查所获得的资料，私隐专员钟丽玲认为又一村花园俱乐部的以下缺失是导致外泄事件发生的主因，包括使用已过时并存在保安漏洞的远端存取软件；服务器的远端存取欠缺用户身分认证措施；使用已过时的防毒软件及防火墙；欠缺资讯保安的机构性措施及过长地保留个人资料。

又一村花园俱乐部在外泄事件发生前，未有采取适当及充分的机构性及技术性资讯保安措施，以保障其资讯系统内所储存的个人资料。此外，俱乐部没有采取所有切实可行的步骤，以确保个人资料的保存时间不超过使用相关资料实际所需的时间。基于上述情况，公署裁定俱乐部违反《私隐条例》，并向俱乐部送达执行通知，指示其采取措施以纠正违规事项，以及防止类似违规情况再次发生。

钟丽玲：应定期检视资讯系统保安措施成效

钟丽玲指出，涉及会员及客户的数据库通常载有大量、完整且持续更新的个人资料，因而成为网络攻击的主要目标。黑客一旦入侵会员及客户数据库，往往会窃取大量个人资料，并出售相关资料用作不法用途。她提醒所有收集和保存大量会员及客户个人资料的机构，应采取主动的策略，定期检视资讯系统保安措施的成效，并投放足够资源以保障会员及客户的个人资料，从而遵从《私隐条例》的规定，并符合资料当事人的合理期望。

公署建议机构应采取足够及合适的机构性及技术性措施，以保障载有个人资料的资讯系统，包括及时更新远端存取软件、防毒软件及防火墙，以修补已知漏洞；为存取资料实施有效的用户身分认证，包括使用强密码及多重身分认证；建立充分的机构性措施，包括资讯保安的内部政策及稳妥的远端存取方案等。

医管局九龙东联网外泄事故 收6宗投诉及8宗查询

至于医管局早前外泄5.6万名病人资料，私隐专员公署指截止本周二，收到6宗投诉及8宗查询。钟丽玲表示，公署在收到相关机构通报资料外泄事故后，即时展开调查 ，亦已经与相关机构代表开会 ，要求他们提交相关资料及采取补救措施，并已经建议为他们安排进行保障私隐方面的讲座及培训。

另外，为支援家长及老师，公署发布《保护儿童网上私隐—给家长及老师的实用贴士》，就家长及老师如何协助儿童在网上世界保障其个人资料私隐及安全，提供实用的建议。贴士鼓励家长及老师与儿童讨论上网时需要注意的事项，善用平台提供的家长操控措施监察儿童的网上活动，并亲身体验最新科技，以深入了解网上平台的功能和服务；家长及老师应提醒儿童，在使用网上平台或与人工智能工具互动时，不要过度分享个人资料，慎留数码足迹，并检查及调整默认的私隐设定。同时，亦应培养儿童尊重他人私隐的意识等。

下载《保护儿童网上私隐——给家长及老师的实用贴士》：
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/leaflet_childrenonlineprivacy_c.pdf
 
此外，为协助家长及老师更容易理解相关贴士，私隐专员公署亦发布了一份“懒人包”，扼要总结实用贴士。下载“懒人包”：
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/safeguarding_practicaltips.pdf

记者：蔡思宇

摄影：何家豪