【大公报讯】记者陈剑报道：个人资料私隐专员公署昨日（21日）公布两份个人资料外洩事故调查报告，分别涉及服装公司和珠宝公司，违反《个人资料（私隐）条例》的相关规定。

　　在港经营“GLOBAL WORK”、“niko and ...”等多个日本品牌的跨国企业Adastria，去年11月向私隐专员公署通报资料外洩事故。调查发现，黑客利用一名现职员工的管理账户的凭证，从一个不明的海外IP位址连接并下载公司网上购物平台的订单资料，外洩的个人资料牵涉59205名客户，包括姓名、电话号码、地址等，被盗的个人资料其后可在“暗网”供下载。

　　私隐专员钟丽玲表示，Adastria是知名跨国时装品牌集团，认为公司的资料保安意识不足，欠缺适当措施保障个人资料，若事发前采取足够措施，可避免发生外洩事故，因此裁定违反《私隐条例》。 

　　离职13年员工 账户被黑客入侵

　　另外，私隐专员公署调查发现，去年11月向公署通报资料外洩事故的“光雅珠宝贸易有限公司”及分公司“爱饰管理有限公司”，因黑客透过攻击，取得一个具系统管理员权限的账户，并于一台用于内部开发及编程的桌上电脑注入木马程式，盗取及删除储存在内的个人资料，涉及约7.9万人，包括客户、现职及离职员工等，而该账户属于一名已离职员工，已闲置静止超过13年。

　　钟丽玲指，涉事公司在外洩事件发生时，未有采取足够及有效的保安措施，以保护公司持有的个人资料，对于公司未有意识到资讯系统保安风险，感到非常遗憾，裁定违反《个人资料（私隐）条例》。

　　她说，公司在外洩事件后，已采取措施提升资讯系统保安，包括重设用户登入密码、更新伺服器作业系统、防毒软件及防火墙等。

　　钟丽玲表示，两宗个案均涉及持有大量客户个人资料的零售公司，其中一宗个案的受影响资料更在暗网被贩卖图利。

　　她提醒机构应该投放足够的资源保障所持有的个人资料，采取合适的措施保障载有个人资料的系统，包括停用已被终止支援的软件、加强资讯系统的密码管理，以及定期为资讯系统进行全面保安风险评估及审计等。