左图：私隐专员公署公布数码港去年8月资料外洩事故的调查报告，指事件涉及资讯系统的五大缺失。右图：数码港1.3万名职员及求职者的个人资料于去年外洩。

　　数码港去年八月遭黑客组织Trigona入侵，逾1.3万人、共超过400GB个人资料外洩，当中约四成为求职者及已离职雇员。私隐专员公署昨日公布数码港资料外洩事故的调查报告，裁定事件违反《私隐条例》，指示数码港两个月内纠正。

　　私隐专员钟丽玲指出，事故由五项缺失导致，包括资讯系统欠缺有效侦测措施，只依赖一款反恶意软件令黑客成功获取具管理员权限账户凭证，并进行勒索软件攻击及窃取储存个人资料；对资讯系统进行的保安审计不足，每两年才做一次；个人资料被不必要地逾期保留等。\大公报记者 古倬勳、叶浩源

　　八年前资料至今未销毁

　　私隐专员公署公布数码港去年8月资料外洩事故的调查报告，发现逾1.3万名员工和求职者的个人资料洩漏，包括逾5000名求职者的个人资料，部分超过法例容许的保留期限，有最早2016年保存至今的应销毁但未销毁资料，涉及的个人资料包括姓名、身份证号码及副本、护照号码，亦有部分人士的财务资料，例如银行户口号码、医疗报告、照片、僱佣资料等。据了解，在“暗网”遭黑客外洩的资料包括数码港行政总裁任景信、首席营运官郑希颖、首席公众使命官陈思源、首席投资官陈觉忠、项目总监余达彰，共五名高层的身份证号码、薪金、银行账户号码、住址及电话号码等个人资料。

　　私隐专员钟丽玲指出，事故由五项缺失导致，包括资讯系统欠缺有效侦测措施，只依赖一款反恶意软件令黑客成功获取具管理员权限账户凭证，并进行勒索软件攻击及窃取储存个人资料；亦无为远端存取资料启用多重认证功能，核实获授权可远端登入数码港网络的用户身份；亦对资讯系统进行的保安审计不足，每两年才做一次，事发前审计已于2021年底进行，相隔逾19个月，未能适时应对资讯科技变化和网络安全风险。除此之外，数码港资讯保安政策有欠具体，未能让员工有具体网络保安框架可依循；个人资料亦被不必要地保留，公署曾就逾期保留资料向数码港查问原因，但数码港未能解释。

　　数码港：定期检视保安措施

　　钟丽玲认为，数码港是一间具规模的机构，恒常持有并处理大量不同人士的个人资料，持份者和公众会合理期望数码港投入足够资源确保系统和数据安全，因此应采取足够保安措施。私隐专员已在上月26日向数码港送达执行通知，指示两个月内，即5月26日前纠正违反事项，之后向公署提交证据，又指如果再次违规将是刑事罪行。她又建议公司设立个人资料私隐管理系统，并委任保障资料主任，适时对系统进行风险评估，及适时删除个人资料，防止类似违规再次发生。

　　数码港回应私隐专员公署调查报告表示，董事局早前已就事件成立专责小组完成督导调查及跟进，包括巩固网络防护屏障，强化侦测网络攻击及入侵的能力，并成功堵截后续网络攻击，亦委托第三方定期监测网络安全及道德黑客入侵测试，以及增加监察网络安全的工具等。专责小组的调查发现，数码港在内部资讯保安及数据管理方面存在改善空间，数码港已加强多项措施，持续提升各个营运层面的资讯系统保安及数据安全水平和意识；同时已审视并加强有关个人资料管理的措施，以确保完全符合《个人资料（私隐）条例》订明的个人资料保障原则。

　　数码港董事、网络安全事件专责小组主席伍志强表示，自事件发生以来，专责小组与管理层积极审视及即时跟进，快速增强网络及数据防护屏障，有效防范后续的网络入侵攻击，并致力支援受影响人士，尽力减低潜在影响，以及全面配合有关部门与私隐专员公署的调查。数码港亦会加强内部审查，定期检视执行资讯保安措施的情况，并向董事局辖下的审计委员会汇报，提升相关管治水平。