(i) 个人资料私隐专员公署（”私隐专员公署”）发表一份有关香港银行学会（”学会”）资料外洩的调查报告。（新闻稿、调查报告摘要 （繁体））

2022年1月，学会向私隐专员公署作出资料外洩事故通报，表示载有个人资料（合共13,000名會員及100,000名非會員）的伺服器遭勒索软件攻击及恶意加密。一名黑客威胁将档案上载至互联网，并要求支付赎金。

（背景：学会曾向一间服务供应商购买一台防火墙，并将保养工作外判至该供应商。防火墙生产商在网站就某特定漏洞发出保安建议，建议用户作出采取措施（”多重认证”）。政府电脑保安事故协调中心亦曾就相关漏洞发出高危保安警报，建议机构应立即为受影响的系统安装 “修补”程式。

学会及其外判服务供应商并不知悉該漏洞，亦沒有跟從建議措施。)

学会作为资料使用者，违反了保障资料原则。

（第4原则：采取所有切实可行的步骤，以确保资料使用者持有的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响。）

私隐专员公署认为学会欠缺有效的资料保安风险管理机制，在保养关键的网络设备上对服务提供者采取宽松态度。

公署亦向其他使用资讯及通讯科技处理个人资料的机构，提出建议。

内容摘要/主要影响：

不足

• 资料保安风险管理欠佳
  — 未订明资料保安风险管理机制
  — 如:并无要求服务提供者定期进行保安检查/漏洞扫描
• 资料系统管理有欠妥善
  — 如: 防毒软件仅具基本防护能力
• 未适时启用多重认证功能

对其他机构的建议

• 提高警觉，防止黑客攻击
  — 定时进行风险评估
• 设立个人资料私隐管理系统
• 委任专责人员作为“保障资料主任”
• 提升资讯系统管理
  — 例如制订有效的修补程式管理程序
• 确实执行数据备份
• 妥善监督服务提供者