图：私隐专员钟丽玲（左）及首席个人资料主任郭正熙（右）发表南华会资料外洩事故的调查结果。

　　【港闻报讯】记者赖振雄报道：南华会三月发生会员资料外洩事故，个人资料私隐专员公署完成调查，裁定南华会违反私隐条例的规定，已要求纠正。个人资料私隐专员钟丽玲表示，学校及非牟利机构的资料外洩事故通报数字有上升趋势，今年首三季已录得51宗个案，占全部通报约三分之一，提醒任何持有个人资料的机构，应投放足够资源，提升资料保安措施。

　　私隐公署调查发现，黑客早在2022年1月、即事发前两年，已在南华会其中一台与互联网相连的伺服器内安装恶意程式，随后透过远端存取，对南华会的电脑系统展开暴力攻击，例如一日内尝试登入逾四万次，最终导致南华会共八台伺服器、一台数据储存器，及十八台电脑受攻击，伺服器遭勒索软件攻击和加密，事件导致南华会逾七万名会员的个人资料，包括身份证号码等外洩。

　　私隐公署认为，南华会在事件中有六项缺失，包括将相关的伺服器意外地披露在互联网中，又欠缺有效的侦测措施、没有为管理员账户启用多重认证，无定期评估风险及保安等。

　　黑客潜伏近两年

　　私隐专员钟丽玲指出，调查显示南华会对保障所持有的会员个人资料意识薄弱，情况令人非常失望。今次事件令人关注，黑客竟然潜伏接近两年，先安装恶意程式，等待机会发动攻击，钟丽玲表示，有关“潜伏”手法并非新发现，其他通报个案也时有发生，但两年潜伏期属于相对较长时间。

　　公署已向南华会送达执行通知，要求每年至少审视一次个人资料系统连结互联网，定期检视及更新侦测及警示工具，聘请独立资讯保安专家每年进行风险评估及保安审计，南华会须在两个月内提交改善措施的证明文件。

　　学校及非牟利机构的资料外洩事故通报数字有上升趋势，去年共157宗通报中，约四成来自学校及非牟利机构，按年上升接近一倍，今年一至九月录得51宗个案，占全部通报约三分之一，公署提醒任何持有个人资料的机构未雨绸缪，提升网络安全和数据安全。