Skip to content

新聞稿

确保资讯系统安全 私隐专员公署完成视察两间教育机构的个人资料系统

日期: 2025年11月13日

确保资讯系统安全
私隐专员公署完成视察两间教育机构的个人资料系统

个人资料私隐专员公署(私隐专员公署)早前完成视察香港兆基创意书院(兆基书院)及香港专业进修学校(港专)的个人资料系统,并于今日发表视察报告
 
兆基书院及港专于2024年分别向私隐专员公署通报资料外洩事故,两宗事故均涉及载有个人资料的资讯系统遭黑客入侵。私隐专员公署于2024年已根据既定程序分别就相关资料外洩事故展开并完成循规审查及调查(详情见附件一)。
 
基于上述背景,以及鑑于近年涉及教育机构的资料外洩事故呈上升趋势,个人资料私隐专员钟丽玲(私隐专员)其后根据《个人资料(私隐)条例》(《私隐条例》)第36条的权力,对两间教育机构的个人资料系统进行视察,以检视它们在资料外洩事故发生后的补救措施是否有效,以及对其载有个人资料的系统的资料保安作进一步全面的审视,并根据视察结果向教育界提供有关保障个人资料的建议。
 
1)兆基书院的视察结果
 
视察结果显示,兆基书院在其资讯系统遭黑客入侵后,已采取多项技术性措施以加强其资讯系统的保安,包括建立修补程式的管理程序、为帐户的虚拟私人网络(VPN)登入启用双重认证功能及设定高强度密码。在存取管控方面,兆基书院采用「最小权限」及「角色为本」的存取管控机制,按用户的职责授予他们必要的系统存取权限。此外,兆基书院亦为员工提供有关保障个人资料及资讯保安的培训,并定期向员工传达相关政策及指引。整体来说,私隐专员认为兆基书院在处理学生及教职员的个人资料方面,符合《私隐条例》中附表1保障资料第4原则有关资料保安的规定。
 
虽然如此,私隐专员建议兆基书院在资讯保安及资料保留方面制定更详细及具体的政策、提升资讯系统的侦测措施,以及加强对资料处理者在妥善销毁其所持有的个人资料方面的管理与监督。
 
2港专的视察结果
 
视察结果显示,港专在资料外洩事故发生后已采取多项技术性措施以加强其资讯系统的保安及侦测能力,并已落实建立个人资料私隐管理系统,委任专责人员担任保障资料主任,以及为员工提供有关保障个人资料的培训及资讯,以提高员工网络安全及防范可疑电邮的意识。港专采用「最小权限」的原则及「角色为本」的存取管控机制,由各部门主管按个别员工的职责及工作需要,授予员工为完成其工作所需的最低限度存取权限,亦制定了资料外洩事故应变计划。整体来说,私隐专员认为港专在处理学生及教职员的个人资料方面,符合《私隐条例》中附表1保障资料第4原则有关资料保安的规定。
 
虽然如此,私隐专员建议港专制定更全面及具体的资讯保安政策及资料保留政策、加强检视载有个人资料的资讯系统纪录,以及对资讯系统定期进行保安审计,以进一步保障所持有的个人资料。
 
私隐专员钟丽玲表示:「教育机构在日常运作中需要处理大量学生及教职员的个人资料,因应这些个人资料的性质及处理存在风险,我希望透过上述视察审视教育机构在保障个人资料方面所采取的措施。除了可进一步协助相关机构加强资讯系统安全管理、数据安全、防范个人资料外洩事故,亦可为教育界提供参考,协助他们遵从《私隐条例》的规定。」
 
根据上述视察结果,私隐专员亦希望向日常需要处理大量学生及教职员个人资料的教育机构提供下列建议,以加强数据安全,包括:
  • 设立个人资料私隐管理系统,并委任专责人员作为保障资料主任;
  • 制定明确针对资料管治和资料保安的内部政策和程序,并贯彻执行相关政策和程序
  • 在员工入职时及往后定期向他们提供有关个人资料保障及资讯安全的培训;
  • 采用「最小权限」的原则及「角色为本」的存取管控机制 ;
  • 实施有效措施以预防、侦测及应对网络攻击;
  • 定期为资讯系统进行全面的保安风险评估及审计
  • 审慎聘任及管理资料处理者;及
  • 制定资料外洩事故及人工智能事故应变计划。
私隐专员公署鼓励机构参考公署刊发的《资讯及通讯科技的保安措施指引》及《资料外洩事故的处理及通报指引》,未雨绸缪,提升网络安全和数据安全。为协助企业及机构保障数据安全,私隐专员公署已推出了「数据安全」专题网页[1]、「数据安全」热线 2110 1155),以及方便企业及机构就其资讯及通讯系统的资料保安措施进行自我评估的「数据安全快测」[2]
-完-
 
2025年立法会换届选举将于127日(星期日)举行,私隐专员公署呼吁选民踊跃投票,履行公民责任,为我们美好的将来,出一分力。


附件一
 
基书院的资料外洩事故
 
兆基书院于2024年5月13日向私隐专员公署通报资料外洩事故,表示其伺服器遭黑客入侵,导致储存在内的个人资料被恶意加密,受影响的资料当事人约 1,300 名,涉及的个人资料包括学生、家长、员工、自由工作者、校友及租户的姓名、地址、电邮地址、电话号码、出生日期、香港身份证号码、相片、银行帐户资料,以及员工及租户的税务资料。私隐专员公署在接获资料外洩事故通报后,已按既定程序展开循规审查,并在完成循规审查后向兆基书院发出提升资讯安全的建议信。
 
港专的资料外洩事故
 
港专于2024年2月21日向私隐专员公署通报资料外洩事故,表示其一组载有个人资料的伺服器遭勒索软件攻击及恶意加密,受影响的资料当事人约 8,146 名,包括学生、课程申请人及前员工。涉及的个人资料包括姓名、香港身份证号码、手提电话号码、家居电话号码、出生日期、电邮地址、性别、相片、香港中学会考成绩及学历成绩证明书、员工职位、员工所属部门、上司姓名及评语、地址、银行帐户号码及部分银行帐户交易记录。私隐专员公署在接获资料外洩事故通报后,已根据既定程序展开调查,并在完成调查后向港专发出警告信。