香港重大數據洩露事件:應對指南
數據洩露定期影響香港各地的機構和個人。了解重大洩露事件的發生經過以及當您的數據洩露時該如何應對,是每位香港居民的必備知識。
數據洩露定期影響香港各地的機構和個人。了解重大洩露事件的發生經過以及當您的數據洩露時該如何應對,是每位香港居民的必備知識。
香港已發生大量影響其居民和企業的數據洩露 ↗事件。這座城市作為主要金融和商業中心的地位,加上高度的數位化採用和大量敏感金融及身份數據的密集存儲,使其成為出於財務動機的罪犯和國家支持的行為者的高價值目標。個人資料私隱專員公署(PCPD)每年收到數百份數據洩露通知,從輕微的意外披露到影響數百萬記錄的重大系統性入侵。
香港數據洩露的顯著類別包括醫療服務提供商(包含香港身份證號碼、病史和聯繫信息的患者記錄)、零售和電子商務平台(客戶支付數據、地址和購買歷史)、金融服務(銀行客戶數據,儘管由於嚴格的金融管理局管控,主要銀行系統入侵很少見)、政府和公用事業(選民登記數據、公用事業帳戶信息),以及酒店和物業管理公司(居民和客人個人信息)。醫療和酒店業已經歷了影響香港居民規模最大的一些洩露事件。
香港數據洩露應對的法律框架正在演變。PCPD已加強其執法能力,並越來越多地對未能實施適當數據安全措施或未能及時通知受影響個人的機構發出罰款和公開譴責。遭受洩露的機構可能需要通知PCPD以及在適當情況下通知受影響的個人。數據在洩露中暴露的個人根據《個人資料(私隱)條例》有權尋求補救。
當您收到持有您數據的香港機構已遭洩露的通知時,您應對的緊迫性和範圍應與所涉及數據的敏感程度成比例。涉及您的電郵地址和哈希密碼的洩露需要及時但不需要慌亂的行動。涉及您的香港身份證號碼、銀行信息或醫療記錄的洩露需要同時在多個渠道緊急應對。
對於憑證洩露,立即採取的行動是:使用您的密碼管理器生成唯一的新密碼立即更改受影響服務的密碼;檢查您是否在任何其他服務中使用了相同的密碼,並立即更改這些密碼;如果尚未啟用,在受影響帳戶上啟用雙重認證;以及在未來幾周內監控帳戶的可疑活動。如果洩露涉及金融帳戶憑證,主動聯繫您銀行的欺詐熱線,而不是等待可疑交易出現。
對於涉及個人身份數據(香港身份證、出生日期、地址、電話號碼)的洩露,優先行動有所不同。如果機構未及時通知您或您認為洩露涉及安全措施不足,向PCPD ↗提出投訴。通過香港持牌信貸資料服務機構(如TransUnion)監控您的信貸記錄,查看是否有未經授權的信貸申請。在洩露後的幾周內,特別警惕網絡釣魚企圖,因為攻擊者使用洩露數據製作個人化詐騙,比一般網絡釣魚更難以檢測。
個人資料私隱專員公署(PCPD)是香港的數據保護機構,負責監督《個人資料(私隱)條例》(PDPO)的合規情況。如果您的個人資料在洩露中受到損害,您在PDPO下有多項權利,包括訪問機構持有的您的個人資料的權利、要求更正不準確數據的權利,以及可能由於洩露造成的損害尋求賠償的權利。
要向PCPD提出投訴,請訪問專員網站pcpd.org.hk並下載投訴表格。投訴可以通過郵寄、電郵或親自到PCPD辦公室提交。投訴應包括:數據使用者(持有您數據的機構)的名稱;洩露的性質;受影響的個人資料類別;您收到通知的日期;以及您已從機構收到的任何回應。PCPD調查投訴,可以發出執法通知、施加罰款和公開譴責不合規機構。
HKCERT(香港電腦保安事故協調中心)在hkcert.org是技術網絡安全事故(包括洩露)的第一聯繫點。對於在洩露後發現自己成為身份欺詐受害者的個人,香港警察網絡安全及科技罪案調查科(科技罪案組)接受包括身份盜竊、欺詐性帳戶申請和SIM卡換號攻擊在內的網絡犯罪報告。透過24小時網絡犯罪熱線182 388報告網絡欺詐。
主動洩露監控比等待機構的洩露通知(有時延遲數天或數週)更有效。對香港居民最實際的方法是訂閱您使用的所有電郵地址的Have I Been Pwned通知(在haveibeenpwned.com免費),在您的密碼管理器中啟用洩露監控,以及在hkcert.org/subscribe訂閱HKCERT的安全公告。這些措施一起涵蓋全球洩露數據庫和香港特定安全事件。
PCPD發布影響香港居民的重大數據洩露的執法通知、調查報告和新聞稿。在其網站和社交媒體上關注PCPD,可以了解可能不會立即出現在全球洩露數據庫中的重大本地事件。PCPD的年度私隱調查和數據洩露報告提供了對當前香港數據保護形勢的有用背景。
香港警察網絡安全及科技罪案調查科在CyberDefender網站(cyberdefender.hk)發布定期的網絡犯罪統計數據和警報。這包括影響香港居民的網絡犯罪類型統計、重大事件案例研究和數字安全實用指南。對於企業主和IT管理員,訂閱HKCERT的企業安全公告,可以在針對香港機構的威脅被廣泛利用之前提供提前預警。
