樂施毅行者系統遭網攻 查泄資料否 內部電郵提或涉姓名身分證 10年前捐款者收短訊

【明報專訊】香港樂施會本月10日發現有電腦系統遭網絡攻擊，受影響系統包括樂施毅行者系統。該會於20日在網頁公布事件，未提及是否涉及個人資料外泄，稱已聘請獨立網絡安全專家檢查及修復受影響系統，以盡快調查是否涉及個人資料的披露及其覆蓋範圍，並先後通報個人資料私隱專員公署及香港電腦保安事故協調中心，以及向警方報案。

事隔10日公布

樂施會在網頁及回覆本報查詢時，均沒提及事件有否涉及個人資料外泄及受影響人數等，但本報收到樂施會近日的內部電郵提到，事件可能涉及的個人資料，包括該會可能持有的姓名、身分證號碼、住址、電郵地址、手機號碼，或者捐款資料，該電郵亦建議先採取資料安全保護措施。

約10年前曾捐款予樂施會的林小姐向本報稱，昨收到短訊得悉事件，質疑樂施會為何仍保留其個人資料，亦不滿該會事發後半個月才通知，認為事件影響日後向慈善機構捐款意欲。

收短訊者質疑為何保留資料10年

本報向樂施會查詢個人資料的保留時限，該會沒有回應；至於受影響系統是否已停用，該會稱毅行者系統已回復正常運作。翻查資料，2022及2023年毅行者分別有約1600人及3400人參加。

私隱署：須確保保存資料時間不超目的所需

私隱公署回覆本報稱，7月13日收到相關機構資料外泄事故通報，暫接獲一宗查詢，未收到投訴；警方確認7月19日接獲報案，案件列作「不誠實使用電腦」，交由東區警區刑事調查隊第二隊跟進調查，暫未有人被捕。

專家：非牟利機構資訊安全資源少

資訊安全研究員賴灼東表示，非牟利機構投入在資訊安全的資源較少，未必能持續監測，而受網絡攻擊原因很多，例如入侵網站及遠端桌面、盜取內部VPN密碼等。他說，樂施會作為非牟利機構，有別法定團體或官方機構須在發現後7至14日公布，認為這次「慢咗啲」但尚可接受。

議員倡賦權私隱署就泄資執法

私隱公署回覆，資料外泄事故詳情仍有待相關機構確定。至於個人資料被保留10年有否問題，公署稱資料使用者須採取所有可行步驟，確保保存時間不超過原來蒐集資料目的實際所需。

立法會選委界議員吳傑莊預料同類事件將繼續發生，相信要社會有共識、重視資訊安全，認同需要修例或有人需要負責才會減少。他建議賦權私隱公署就資料外泄事件執法，而非單純譴責及警告，並可參考外國增設罰則，例如可民事或集體訴訟、設不同銀碼罰款等。