個人資料私隱專員公署發現有醫療集團未經客人同意下,透過統一系統分享旗下28個品牌客戶個人資料;另外一間大型相片沖曬公司在知悉系統存在保安漏洞後,未有正確處理。兩間公司同樣違反私隱條例,遭公署發出執行通知,要求糾正及防止再次發生同類行為。
【新聞有價 記者有格 立即訂閱:https://bit.ly/3wGQh7c】
公署去年11月,正式展開調查2宗有關醫療集團醫思健康旗下品牌共用客戶資料的投訴,發現截至今年11月,醫思健康旗下39個品牌中,有28個品牌使用集團的統一內部系統,分享共約108萬名會員的資料,包括個人資料、消費記錄及疫苗疫苗紀錄等。涉及品牌包括遭投訴的匯兒兒科醫務中心、Dr Reborn、紐約醫療集團及香港仁和體檢,公署已要求相關品牌停止共用資料。
公署指醫思健康違反了《私隱條例》保障資料第3(1)原則規定,沒有通知所有收購前的既有客戶,相關品牌被醫思健康收購,而個人資料會與其他品牌互用。
而相片沖曬公司快圖美(遠東)有限公司去年11月1日向公署通報,其網店的數據庫在去年10月26日受勒索軟件攻擊及惡意加密,洩漏超過54名會員及7.4萬網上顧客的個人資料,包括姓名、電話號碼、聯絡及送貨地址等。
而公署於去年12月正式展開調查,快圖美則承認於2019年9月已得悉相關漏洞,在4個月前已獲防火牆生產商在網站發出保安建議,指留意到有黑客入侵其系統的漏洞,生產商亦促請快圖美立即停用保密插口層虛擬私人網絡(SSL VPN)功能,直至更新系統及重設所有帳戶密碼, 又建議快圖美採用多重認證。但快圖美未有參考建議修復漏洞,又指已設置防毒軟件、防勒索軟件及防火牆等保安措施;及在諮詢服務供應商和內部評估後,認為無需安裝修補程式。快圖美又認為資訊科技部門只在有需要時遙距登入SSL VPN,因此未有詳細評估相關漏洞。
公署表示暫時未發現有人不當使用快圖美洩漏的資料,但指快圖美違反《私隱條例》保障資料第4(1)原則,有關個人資料保安的規定,錯誤評估保安漏洞的風險,欠妥善系統管理,亦未有及時修補防火牆保安漏洞,令黑客有機可乘。
就以上兩宗個案,私隱專員公署提醒市民,若懷疑個人資料被轉移,最好向相關公司查詢;又建議公司設立個人資料私隱管理系統、委任專責人員作保障資料主任及提升資訊系統管理。
