左圖：私隱專員公署公布數碼港去年8月資料外洩事故的調查報告，指事件涉及資訊系統的五大缺失。右圖：數碼港1.3萬名職員及求職者的個人資料於去年外洩。

　　數碼港去年八月遭黑客組織Trigona入侵，逾1.3萬人、共超過400GB個人資料外洩，當中約四成為求職者及已離職僱員。私隱專員公署昨日公布數碼港資料外洩事故的調查報告，裁定事件違反《私隱條例》，指示數碼港兩個月內糾正。

　　私隱專員鍾麗玲指出，事故由五項缺失導致，包括資訊系統欠缺有效偵測措施，只依賴一款反惡意軟件令黑客成功獲取具管理員權限賬戶憑證，並進行勒索軟件攻擊及竊取儲存個人資料；對資訊系統進行的保安審計不足，每兩年才做一次；個人資料被不必要地逾期保留等。\大公報記者 古倬勳、葉浩源

　　八年前資料至今未銷毀

　　私隱專員公署公布數碼港去年8月資料外洩事故的調查報告，發現逾1.3萬名員工和求職者的個人資料洩漏，包括逾5000名求職者的個人資料，部分超過法例容許的保留期限，有最早2016年保存至今的應銷毀但未銷毀資料，涉及的個人資料包括姓名、身份證號碼及副本、護照號碼，亦有部分人士的財務資料，例如銀行戶口號碼、醫療報告、照片、僱傭資料等。據了解，在「暗網」遭黑客外洩的資料包括數碼港行政總裁任景信、首席營運官鄭希穎、首席公眾使命官陳思源、首席投資官陳覺忠、項目總監余達彰，共五名高層的身份證號碼、薪金、銀行賬戶號碼、住址及電話號碼等個人資料。

　　私隱專員鍾麗玲指出，事故由五項缺失導致，包括資訊系統欠缺有效偵測措施，只依賴一款反惡意軟件令黑客成功獲取具管理員權限賬戶憑證，並進行勒索軟件攻擊及竊取儲存個人資料；亦無為遠端存取資料啟用多重認證功能，核實獲授權可遠端登入數碼港網絡的用戶身份；亦對資訊系統進行的保安審計不足，每兩年才做一次，事發前審計已於2021年底進行，相隔逾19個月，未能適時應對資訊科技變化和網絡安全風險。除此之外，數碼港資訊保安政策有欠具體，未能讓員工有具體網絡保安框架可依循；個人資料亦被不必要地保留，公署曾就逾期保留資料向數碼港查問原因，但數碼港未能解釋。

　　數碼港：定期檢視保安措施

　　鍾麗玲認為，數碼港是一間具規模的機構，恆常持有並處理大量不同人士的個人資料，持份者和公眾會合理期望數碼港投入足夠資源確保系統和數據安全，因此應採取足夠保安措施。私隱專員已在上月26日向數碼港送達執行通知，指示兩個月內，即5月26日前糾正違反事項，之後向公署提交證據，又指如果再次違規將是刑事罪行。她又建議公司設立個人資料私隱管理系統，並委任保障資料主任，適時對系統進行風險評估，及適時刪除個人資料，防止類似違規再次發生。

　　數碼港回應私隱專員公署調查報告表示，董事局早前已就事件成立專責小組完成督導調查及跟進，包括鞏固網絡防護屏障，強化偵測網絡攻擊及入侵的能力，並成功堵截後續網絡攻擊，亦委託第三方定期監測網絡安全及道德黑客入侵測試，以及增加監察網絡安全的工具等。專責小組的調查發現，數碼港在內部資訊保安及數據管理方面存在改善空間，數碼港已加強多項措施，持續提升各個營運層面的資訊系統保安及數據安全水平和意識；同時已審視並加強有關個人資料管理的措施，以確保完全符合《個人資料（私隱）條例》訂明的個人資料保障原則。

　　數碼港董事、網絡安全事件專責小組主席伍志強表示，自事件發生以來，專責小組與管理層積極審視及即時跟進，快速增強網絡及數據防護屏障，有效防範後續的網絡入侵攻擊，並致力支援受影響人士，盡力減低潛在影響，以及全面配合有關部門與私隱專員公署的調查。數碼港亦會加強內部審查，定期檢視執行資訊保安措施的情況，並向董事局轄下的審計委員會匯報，提升相關管治水平。