【大公報訊】記者陳劍報道：個人資料私隱專員公署昨日（21日）公布兩份個人資料外洩事故調查報告，分別涉及服裝公司和珠寶公司，違反《個人資料（私隱）條例》的相關規定。

　　在港經營「GLOBAL WORK」、「niko and ...」等多個日本品牌的跨國企業Adastria，去年11月向私隱專員公署通報資料外洩事故。調查發現，黑客利用一名現職員工的管理賬戶的憑證，從一個不明的海外IP位址連接並下載公司網上購物平台的訂單資料，外洩的個人資料牽涉59205名客戶，包括姓名、電話號碼、地址等，被盜的個人資料其後可在「暗網」供下載。

　　私隱專員鍾麗玲表示，Adastria是知名跨國時裝品牌集團，認為公司的資料保安意識不足，欠缺適當措施保障個人資料，若事發前採取足夠措施，可避免發生外洩事故，因此裁定違反《私隱條例》。 

　　離職13年員工 賬戶被黑客入侵

　　另外，私隱專員公署調查發現，去年11月向公署通報資料外洩事故的「光雅珠寶貿易有限公司」及分公司「愛飾管理有限公司」，因黑客透過攻擊，取得一個具系統管理員權限的賬戶，並於一台用於內部開發及編程的桌上電腦注入木馬程式，盜取及刪除儲存在內的個人資料，涉及約7.9萬人，包括客戶、現職及離職員工等，而該賬戶屬於一名已離職員工，已閒置靜止超過13年。

　　鍾麗玲指，涉事公司在外洩事件發生時，未有採取足夠及有效的保安措施，以保護公司持有的個人資料，對於公司未有意識到資訊系統保安風險，感到非常遺憾，裁定違反《個人資料（私隱）條例》。

　　她說，公司在外洩事件後，已採取措施提升資訊系統保安，包括重設用戶登入密碼、更新伺服器作業系統、防毒軟件及防火牆等。

　　鍾麗玲表示，兩宗個案均涉及持有大量客戶個人資料的零售公司，其中一宗個案的受影響資料更在暗網被販賣圖利。

　　她提醒機構應該投放足夠的資源保障所持有的個人資料，採取合適的措施保障載有個人資料的系統，包括停用已被終止支援的軟件、加強資訊系統的密碼管理，以及定期為資訊系統進行全面保安風險評估及審計等。