圖：私隱署裁定消委會去年遭黑客入侵，導致逾450人的個人資料外洩，違反私隱條例，要求兩個月內糾正。

　　【大公報訊】記者秦英偉報道：消費者委員會去年9月遭黑客入侵，導致逾450人的個人資料外洩，個人資料私隱專員公署昨日（2日）發表調查報告，裁定消委會違反私隱條例，送達執行通知，要求兩個月內糾正，包括實施多重身份認證、定期檢視遙距存取權限等。消委會回應表示，對公署的建議深表重視，已經即時糾正。

　　逾450人個人資料外洩

　　黑客組織「Alpha」（或稱「Black Cat」）去年9月，通過虛擬私有網絡（VPN）進入消委會的網絡系統，對伺服器和端點裝置進行勒索軟件攻擊。

　　個人資料私隱專員鍾麗玲表示，經過調查，發現此事件是由於多項安全措施缺失所導致。事件中涉及的數據少於1.5GB，包括黑客進行的網絡活動如網絡掃描。有4個含有個人資料的檔案遭到未獲准許的查閱，影響逾450位人士的個人資料，包括投訴人、資訊科技服務供應商的員工以及消委會現職及已離職的員工。

　　署理首席個人資料主任（合規及查詢）郭正熙指出，已要求消委會在兩個月內採取一系列改善措施，包括實施多重身份認證、聘請獨立資訊安全專家檢視保安措施、定期檢視資訊系統保安、制定清晰和全面的保安政策和程序，以及加強數據安全和資料保護的培訓。

　　郭正熙強調，如消委會未能遵守執行通知，將面臨最高港幣五萬元罰款和兩年監禁的刑罰。

　　消委會回應時表示，重視公署建議，將持續提升保安系統以及數據安全。消委會強調，受影響的個人資料非常有限，並不涉及信用卡、銀行賬戶及財務資料，調查未能確定資料是否被下載。根據外聘的暗網監察服務商資料，至目前為止未有發現任何受影響資料被公開。