數碼港因保安系統漏洞,去年超1.3萬人個人資料外洩。私隱專員公署2日發表調查報告,裁定數碼港違反私隱條例資料保安及保留規定,並向數碼港發出執行通知,要求兩個月內糾正違反事項。
事故有超過1.3萬名員工和求職者的個人資料洩漏,當中包括超過5000名求職者的身份證的副本和財務資料等個人資料。按照數碼港的資料保留政策,求職者的個人資料僅保留一年,僱員的個人資料則於受僱期間保留,但實際未及時刪除相關數據。
資料洩露與黑客攻擊獲取數據有關。私隱專員公署認為,數碼港的資訊系統欠缺有效的偵測措施,事發時僅依賴一款反惡意軟件偵測異?;顒?,導致未能有效偵測到黑客行動。且事發時,數碼港未啟用多重認證功能核實用戶身份,讓黑客成功進入數碼港網絡。
數碼港2日回覆表示,事故後已成立專責小組,提升防範黑客攻擊能力等,亦會與私隱公署跟進後續工作,按時完成執行通知。數碼港現已刪除所有已屆一年保留期限的求職者個人資料,以及已屆7年保留期限的離職僱員個人資料;各部門會定時檢視管有的資料,確保按保留政策適時刪除。