<匯港通訊> 個人資料私隱專員公署發表兩份個人資料外洩事故調查報告，分別涉及珠寶公司和服裝公司，違反《個人資料（私隱）條例》的相關規定。

其中一宗個案涉及一家珠寶公司及其母公司，去年11月受黑客透過暴力攻擊，取得一個靜止超過13年但具系統管理員權限的賬戶，其後在公司電腦注入木馬程式，盜取及刪除儲存在內的個人資料，涉及約7.9萬人，包括客戶、現職及離職員工等。

另外一宗個案涉及一家總公司是日本跨國企業的服裝公司，其客戶關係管理平台及電子商務平台於去年11月遭未獲授權第三方入侵，黑客利用一名現職員工的管理賬戶的憑證，從一個不明的海外IP位址連接並下載當中的訂單資料，涉及約5.92萬名客戶。個人資料私隱專員鍾麗玲表示，在外洩事故發生約兩個月後，受影響的個人資料被不法之徒在「暗網」公開並可下載，亦有證據顯示資料被用作詐騙用途。

鍾麗玲表示，兩宗個案均涉及持有大量客戶個人資料的零售公司，其中一宗個案的受影響資料更被販賣圖利。她提醒機構應該投放足夠的資源保障所持有的個人資料，採取合適的措施保障載有個人資料的系統，包括停用已被終止支援的軟件、加強資訊系統的密碼管理，以及定期為資訊系統進行全面保安風險評估及審計等。 (ST)