涉事资料库因人为疏忽而被保留下来

个人资料私隐专员黄继儿就香港寛频去年4月中旬发生客户资料库遭入侵，导致近38 万名客户及服务申请者的个人资料外泄事件展开调查，发表调查报告。基于调查发现，香港宽频在个人资料保留、删除等方面违反了有关规定，私隐专员决定向香港宽频送达执行通知，以纠正违规情况及防止事故重演。

香港宽频行政总裁杨主光去年就38万名客户的资料外泄道歉。资料图片

调查发现， 涉事资料库本应在 2012 年完成系统迁移后被删除，却因人为疏忽而被保留下来，并继续连接内部网络。 公司遗忘了涉事资料库的存在，期间亦没有更新资料库的修补程式及将资料作加密处理； 公司在系统迁移后没有作全面及审慎的检查，以致未有适时删除涉事资料库； 公司在事发前没有仔细考量旧客户个人资料的保留期限和制定资料保留的内部指引，以及保留旧客户的资料时间过长。

私隐专员认为，香港宽频没有采取所有切实可行的步骤，删除已不再需要的涉事资料库，加上保留旧客户的个人资料时间过长，因而违反《私隐条例》第26（资料删除）和《私隐条例》附表 1 的保障资料第 2(2)原则（资料保留）。私隐专员送达执行通知，以纠正及防止违规情况。

私隐专员指令公司， 制定清晰的程序，订明系统迁移后，删除不再需要的资料库内的个人资料的步骤、时限和监察措施；制定清晰的资料保留政策，订明客户及服务申请者个人资料的保留期限，不得超过将其保存，以贯彻该资料被使用于或会被使用于的目的所需的时间；制定清晰的资料保安政策，订明定期检视用户权限及远程接达服务的保安措施；实施有效的措施，确保有关员工知悉和执行上述政策及程序；根据制订的资料保留政策，删除所有超过保留期限的客户及服务申请者的个人资料。