數碼港電腦系統遭入侵造成資料外洩,有個人資料遭洩漏的數碼港前員工指,感到震驚和憤怒,擔心被人盜用身份和受到滋擾,又指數碼港後續跟進是於事無補。私隱專員公署暫時接獲32宗相關查詢及6宗投訴。
有立法會議員指,本港法例沒有確立機構的網絡保安責任,就算數碼港證實有疏忽,既沒有刑事責任,受害人難以循民事追討賠償。
前員工:身份證和銀行資料遭洩漏 每日提心吊膽
數碼港電腦系統早前遭入侵,黑客盜取400GB企業內部資料,再放上「暗網」,包括人事部資料庫,據了解當中有列出全體過百名員工薪酬的總匯表、受薪銀行戶口紀錄、求職者的個人履歷和工作證明,查閲部分檔案需要密碼,部分就毋須密碼,直接在「暗網」被公開。
化名X先生的數碼港前員工,2年前離開數碼港,月初從新聞得悉事件,主動聯絡數碼港,獲確認他的資料遭到洩漏,包括身份證號碼、地址和銀行賬戶。他指感到震驚和憤怒,數碼港作為政府全資擁有的資訊科技中心,出現嚴重保安漏洞,是不能接受,又指每日提心吊膽,擔心被人盜用身份借貸或申請信用卡。他指自己的住址同樣被公開,擔心有人「追數淋紅油」,自己或家人會被滋擾。
X先生指,數碼港對於資料洩漏是責無旁貸,但事後只是向受害人提供一年由保安顧問負責的身份監察服務,認為是於事無補,指事件可以造成長年影響,但現階段沒有具體證據證明損失,要向數碼港索償,亦十分困難,令他感到彷徨無助。
江玉歡:法例無確立機構網絡保安責任 民事索償有困難
本身是律師的立法會議員江玉歡指,部分國家和地區的網絡安全法例,要求收集資料的公司,做好保安措施,一旦疏忽造成資料洩漏,亦要負刑責,反觀本港沒有類似法例,未有確立機構的網絡保安責任,就算數碼港證實有疏忽,既沒有刑事責任,受害人亦沒有法律基礎進行民事索償。
她指本港目前沒有網絡安全法例,相關規定分散在《刑事罪行條例》和《電訊條例》,當中不誠實取用電腦罪,舉證難度高,成功檢控個案少,幾乎沒有可能處理海外罪行,認為事件未有人要負責,是極不理想。
除了現職和前員工,洩漏資料亦包括曾申請數碼港職位的求職者資料,包括個人履歷和工作證明,江玉歡指,這些同屬敏感資料,其他公司可以利用有關資料「壓價」,降低開出的薪金,受害人的損失將難以量化。她會在立法會10月中復會後,要求數碼港管理層到立法會交代。
私隱專員公署至今就事件接獲32宗查詢和6宗投訴。警方回覆本台查詢指,上月接獲數碼港報案,案件列作「有犯罪或不誠實意圖而取用電腦」,由網絡安全及科技罪案調查科跟進調查,暫未有人被捕。警方指,一直與海外執法機構緊密合作,交換情報和打擊涉及境外的網絡犯罪活動;而任何人在未獲資料當事人的相關同意下轉載及披露其個人資料,有機會觸犯《個人資料(私隱)條例》。
記者:馬愷琪