抄作业 | 香港私隐专员公署发表两份个人信息安全及数据安全调查报告
2022/11/21 11:10:17 数据法盟

     联系微信：heguilvshi 领取优惠券，加入DPOHUB会员!

     11月14日，香港私隐专员公署发表两份与个人信息安全及数据安全相关的调查报告：(一)医思健康透过统一系统互用旗下品牌客户的个人资料；及(二)快图美(远东)有限公司(快图美)数据库遭勒索软件攻击。

     其报告情况总结如下：

     一、医思健康：透过统一系统互用旗下品牌客户的个人资料个人资料私隐专员在调查此个案后，发现医思健康在收购汇儿及纽约医疗后，将后两者客户的个人资料储存与其系统中，并将客户的部分个人资料在医思健康旗下使用该系统的28个品牌之间互用，使有关资料可被不同品牌的前线职员查阅。客户在投诉过程中也表示，他们本来只向个别品牌提供的个人资料，在不知情的情况下，被披露及转移给其他品牌的职员。私隐专员认为，此举明显与当初收集两位当事人的个人资料的目的不一致，也不符当事人对其个人隐私资料的合理期望。基于上述情况，私隐专员认为医思健康违反了《个人资料(私隐)条例》有关使用(包括披露或转移)个人资料的规定。私隐专员已向医思健康发出执行通知，指示医思健康纠正其违反事项，以及防止同类违反的行为再次发生。私隐专员亦希望借此报告，对其他营运多元品牌的机构作出以下六项建议：向客户提供清晰易明的收集个人资料声明，让他们了解机构收集其个人资料的目的及其个人资料可能转移给哪些类别的人士；为新目的使用(包括披露或转移)客户的个人资料前须先取得客户的同意；按照业务的范畴及职员的职权，适当设定职员查阅或存取客户个人资料的权限；在构思或推行任何涉及处理大量个人资料的计划前，应先进行私隐影响评估，以及根据评估结果对有关影响及风险采取充分保障个人资料私隐的措施；实施个人资料私隐管理系统，把个人资料私隐保障纳入机构的管治责任；委任保障资料主任，确保机构遵从《私隐条例》的规定及推行私隐管理系统，建立尊重个人资料私隐的文化。二、快图美：数据库遭勒索软件攻击随着数码化的蓬勃发展，网络攻击已经成为大多数企业所面临的主要风险之一。无论规模大小，机构均可能随时受到黑客的攻击。私隐专员公署已经完成对快图美数据库遭勒索软件攻击的调查，并于今日发表调查报告。事件源于2021年11月1日公署收到快图美的资料泄露事故通报，表示其网上商店的数据库于2021年10月26日遭勒索软件攻击及恶意加密。事件共影响54万余名会员及7万余名曾在2020年11月16日至2021年10月26日期间于快图美网上商店订购产品及/或接受服务的客户。根据调查所获得的证据，私隐专员发现快图美在以下方面存在严重不足，导致该数据库在可避免的情况下被黑客利用保安漏洞入侵系统并存取个人资料：错误评估安全漏洞的风险；资讯系统管理有欠妥善；拖延启用多重认证功能。在该个案中，私隐专员发现快图美在个人资料风险意识及个人资料保安措施方面存在严重不足，导致公司的数据库遭勒索软件攻击。私隐专员认为快图美没有采取所有切实可行的步骤以确保涉事的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响，因而违反了《私隐条例》有关个人资料保护的规定。私隐专员已向快图美送达执行通知，指示快图美纠正违规情况以及防止违规情况再发生。私隐专员也希望借此报告提醒处理顾客个人资料的机构须特别注意以下范畴：应时刻提高警觉，防止黑客攻击，定时进行风险评估，以检视黑客攻击对系统可能带来的影响；设立个人资料私隐管理系统，循规处理个人资料，并有效处理个人资料的整个生命周期；委任专责人员作为保障资料主任，监察《私隐条例》的遵从；提升资讯系统管理，包括制订有效的修补程式管理程序，尽早修补保安漏洞；妥善记录内部通讯，以便日后检讨时参考。

     来源：香港个人资料私隐专员公署

     每天两块钱，实时获取全球数据合规风险预警

     如需《汽车数据安全管理情况报告(参考模板)》PDF版，请加入圈子免费下载

     招募讲师：欢迎加入DPOHUB课程平台

     平台介绍：数据合规权威平台之一，数据法盟和数据保护官的专业粉丝超过10万，学员超过2万。讲师收益：权威平台的免费宣传，塑造讲师个人职业品牌及影响力；收益共享权。申请条件：只要在数据隐私、安全及治理等方面具有落地经验或理论积累，都可以申请加入。授课方式：既可以是体系性课程(每讲20-30分钟)，也可以是一次在线讲座(60-90分钟)。申请方式：请将“简历、课程名称及大纲”发送到微信：heguilvshi 或邮箱：11535782@qq.com

    

    

    源网页  http://weixin.100md.com
返回 数据法盟 返回首页 返回百拇医药