樂施會去年7月向私隱專員公署通報資料外洩事故，調查發現，黑客透過暴力攻擊及利用樂施會防火牆的嚴重漏洞，執行遠端程式碼及指令，控制一個資訊科技測試人員的帳戶，隨後入侵樂施會的伺服器、工作電腦及手提電腦，可能竊取約55萬人的資料，包括捐款者、義工、項目夥伴、現職及離職僱員、求職者等；涉及的個人資料包括姓名、身份證、護照、電話號碼、地址、信用卡號碼等。

私隱專員鍾麗玲指，樂施會是一間具規模的機構，恆常地持有和處理大量不同人士的個人資料，公眾會合理地期望機構可以確保資訊系統安全，但樂施會事發前未有採取足夠和有效的措施，保障資訊系統，亦未有適時銷毀超過保存期限的個人資料，以致有大規模資料外洩，情況令人遺憾，裁定樂施會違反了《私隱條例》的保障資料原則。

鍾麗玲指，樂施會已就外洩事件通知受影響人士，並於事件發生後實施各項改善措施，包括由外部顧問就資訊安全措施提供的建議，亦承諾更新資訊科技政策，建立全面的漏洞管理計劃，以加強整體系統安全。