香港寬頻去年洩38萬客資料　公署指違私隱條例

香港寬頻去年4月中發生客戶資料庫遭入侵事件，接近38萬名客戶的個人資料外洩。香港個人資料私隱專員公署調查結果發現，香港寬頻在個人資料保留、刪除等方面違反了有關《私隱條例》的規定。私隱專員黃繼兒表示，公署已向香港寬頻送達執行通知，以糾正及防止違規情況。報告亦指出鑑於近年資料外洩事故頻生，私隱專員認為社會應重新討論是否應向違反《私隱條例》附表1的保障資料原則的資料使用者判處行政罰款。

報告指出，有關被黑客入侵的香港寬頻客戶資料庫已經停用多時，本應在2012年完成系統遷移後被刪除，卻因人為疏忽而被保留下來，並繼續連接內部網絡，期後亦沒有更新資料庫的修補程式及將資料作加密。

黃認為，香港寬頻未有刪除有關資料庫，加上保留舊客戶的個人資料時間過長，已違反《私隱條例》第26條(資料刪除)和附表1的保障資料第2(2)原則(資料保留)。公署指令香港寬頻需制訂清晰程序，包括訂明系統遷移後，刪除不再需要的資料庫內的個人資料的步驟、時限和監察措施；訂明客戶及服務申請者個人資料的保留期限，亦要定期檢視用戶權限及遠程接達服務的保安措施，以刪除所有超過保留期限的客戶及服務申請者的個人資料。

香港寬頻須於收到執行通知的90天內需完成上述事宜，並隨即提交有關證明文件供私隱專員參閱。