「無巡查 無審計 無罰則」 網絡保安專家:私隱例落後
【明報專訊】香港寬頻在發現38萬客戶資料失竊後兩日、在昨日收市後才對外公布事件,有立法會議員批評,香港寬頻儲存資料的手法最差,公司遲公布,未有將客戶利益放在首位。有網絡保安專家說,該資料庫已停用超過5年,質疑香港寬頻一直保留客戶資料,而且更將資料留在線上,令黑客容易入侵,亦批評政府一邊說要搞科技,一邊卻未做好科技法例,本港私隱條例亦落後,「無巡查、無審計、無罰則」。
資訊科技界立法會議員莫乃光認為事件離奇,被外泄的資料庫已經停用,質疑為何仍放在線上,而非儲存到不能上網的裝置中,形容香港寬頻儲存資料的手法最差。他又說,香港寬頻雖然是上市公司,要顧及自己權益,但其實要更早公布,將客戶利益放在首位,亦應第一時間通知個人資料私隱專員公署,現行《私隱條例》雖未定下儲存資料的實際限期,但亦有定下一些原則,例如要盡快刪除,今次香港寬頻是初犯,「公署未必有牙力立即檢控」。
民建聯立法會議員葛珮帆說事件嚴重,香港寬頻成立多年,今次外泄了2012年或以前的資料,「是不是由day one開始一直儲?」而且保留的資料眾多,包括身分證號碼、地址等,資料完整程度可以用以借貸,風險很大,認為私隱專員要研究會否修緊法例,設立期限,以及限制儲存的資料內容。
議員促修例 管儲存期限
曾為不少銀行、財務公司審核網絡保安的VXRL電腦保安研究員賴灼東說,有些公司忽略後備伺服器的保安,他也發現不少公司有此保安漏洞,而該些公司都儲存了大量客戶資料,一直未有刪除。
專家指按人頭罰款100 保安一定好
賴灼東又批評目前監管太差,「無巡查、無審計、無罰則」,如公司外泄一個個人資料可被罰款100元,外泄38萬個資料已可被罰款3800萬元,相信公司會因而做好保安,故認為一定要加強罰則,「不要說做什麼科技局,科技法律也未做好,如何學人搞科技?」