【獨媒報導】樂施會去年7月發生資料外洩，超過330GB的數據被黑客竊取，約55萬人受影響，包括捐款者、活動參與者、義工、求職者及前僱員等敏感個人資料。私隱專員公署今公布調查結果，指樂施會防火牆存在嚴重漏洞、未有啟用多重認證，即使系統偵測暴力登入，但樂施會並無行動機制，黑客入侵後關閉多個保安系統。專員鍾麗玲認為，樂施會違反《私隱條例》，昨日送達執行通知書，要求兩個月內糾正措施。

鍾麗玲表示，涉事超過330GB數據，涉及人數約55萬， 包括捐款者，活動參與者、義工、項目夥伴、項目參與者、項目顧問、現職及離職職員、求職者及管治成員的個人資料。她又指當中涉及敏感個人資料，例如姓名、身份證號碼、護照號碼、出生日期、電話、電郵、地址、信用卡號碼及銀行帳戶號碼。

資料最長保留7年

公署調查發現黑客透過暴力攻擊及利用樂施會防火牆嚴重漏洞，執行遠端程式碼及指令，取得和控制一個IT測試員的帳戶，再利用伺服器漏洞，取得樂施會「活動目錄」的管理員權限，隨後入侵多部電腦和私人電腦。

公署又指，樂施會的防火牆自2023年6月起再進行更新，即使防火牆公司已公布兩個更新版修補漏洞，但樂施會仍然無更新；另一方面樂施會亦未有啟動多重認證，亦未有適時銷毀超過保存期限的個人資料，最長的資枓保留了7年。公署又表示，其實樂施會的系統在黑客攻擊初期，曾偵測到多次暴力登入警示，但樂施會沒有訂出機制如何採取行動，亦沒有通知任何團隊，無法察覺異常登入狀況。黑客在成功撞入系統後，便關閉所有保安系統。

專員鍾麗玲樂施會是一間具規模機構，事發前未有採取足夠措施以保障資訊系統安全，亦未有適時銷毀超過保存期限的個人資料，導致事件的發生令人遺憾。

「罰幾多」成為修例樽頸 曾國衞昨稱或分階段實施

近年連接有大型機構和私人公司發生資料外洩事件，公署去年提出修訂《私隱條例》的工作進度如何？鍾麗玲表示，政制及內地事務局局長曾國衞昨日在立法會已詳細解釋，公署的初步建議方向，包括設立強制通報機制、加重罰則及授權公署施加行政罰款。不過去年諮詢持份者時，聽到有聲音關注引入行政罰款，會否增加中小企的經濟負擔，公署和政府當局會「再小心全盤審視」，再決定推出修例的時間和細節。

曾國衞昨日在回答議員口頭質詢時指，業界對加重罰則深表關注，特別是在目前經濟困難的情況下對中小企會造成很大影響和壓力。對此，政府亦能理解業界的憂慮。政府為此正研究考慮「適當調整修例建議」，例如是否可分階段實施修訂建議，以減少對業界可能造成的影響，以及適當釐定行政罰款的金額，以起阻嚇作用的同時亦在可接受的水平。