私隱專員公署昨發表調查報告,批評網購平台Carousell犯下「基本性失誤」,引致連本港在內全球共260萬用戶資料外洩。平台除受報告直接炮轟,去年初遷移系統前後,一次又一次掉以輕心,亦不可忽略它是在來源地新加坡掀起爭議後,才確認本港同受牽連,且再拖延了一會方通報公署,足證示警、補救上亦有嚴重不足,背後反映本地相關法規罰則太輕,遙遙落後國際發展和社會所需。
星早提醒國民 港人如夢初醒
據報告所述,32.4萬受影響本港用戶,電郵、電話和出生日期遭查閱和外洩,直接肇因是工程師搬遷系統時,不慎遺漏過濾器,揭示了公司事前沒做私隱評估、編碼覆檢欠全面、異常網絡活動沒有效偵測措施等五大違例事項。
然而,除了表明「非常失望」,公署可否問責?查看新聞稿,通篇沒提及罰則;21頁的報告內,只有一句提及,《私隱條例》最高可判罰5萬元及監禁兩年,還要署方完成調查後兩個月內,未見糾正或防範問題再現,方會定罪。這對跨國公司來說,儼如無牙老虎,公署恐難推動對方,因應本港情況引入保障市民的政策或程序。
放眼全球,歐盟的《通用數據保障條例》(GDPR)最為威名遠播,並成功追究無數巨擘如亞馬遜和Meta;內地和美國其實也試過開出天價罰單,嚴懲過分收集、未能保障私隱者,如美資信貸評級商Equifax便曾因太遲糾錯和通報,須支付5.75億美元(約45億港元)和解費。
綜合私隱署報告及新加坡報道可見,Carousell母公司聲稱,去年9月中找到保安漏洞和修正,但待到10月13日發現暗網上有人兜售資訊,同月21日才正式通知星洲用戶,早惹當地質疑。更甚者,集團同日確認本港用戶同受影響後,原來還再拖延了5天,才經由本港子企通報公署,可謂「罪加一等」。
觀乎全港昨日如夢初醒的反應,Carousell去年有否妥善通知本地用家個人資料外洩,絕對存疑。有別新加坡網絡安全局,當時特別提醒國民保持警惕,小心釣魚陷阱,本港私隱署昨日發表調查前,未曾作公開警告,顯然也有失職之嫌。
今次Carousell固然是內部編程犯錯,令本應隱藏的用戶資料直接公開,但從數碼港到消委會的個案可見,更多黑客組織會主動鑽保安漏洞、挖取重要私隱,再高價勒索當事機構,不遵從便會在暗網公開。
數據就是黃金 妥修例引企業
隨著港府力推創新科技發展,人工智能愈趨廣泛成熟應用,本地不同公商機構手執的個人資訊,只會與日俱增。只有當本地私隱法規有足夠阻嚇力,且能從嚴執行,各機構在系統設計、事故通報、事後補救等每個環節,才會更步步為營。
創科局局長孫東早前形容,未來「數據就是黃金」,爭取利用大灣區數據通,讓香港成為數不多、匯聚國內海外數據資源的國際數據港,將有助吸引內地及海外企業前來。顯而易見,一切還仰賴保持私隱法規與時並進,充分賦權私隱專員,令全城有不遜國內外的完備保障問責機制。
《說說心理話》情緒勒索任何關係均有機會發生 如何走出情緒勒索循環?► 即睇
