香港寬頻洩38萬客資料 CEO:未來3個月刪除舊客資料

Net+ 17:51 2018/04/23

分享:

香港寬頻行政總裁楊主光宣布一系列補救措施,包括90萬舊客戶的資料會於未來3個月刪除。(張永康攝)

香港寬頻客戶資料庫上周一被黑客入侵,涉及38萬名固定及IDD服務的客戶資料。香港寬頻行政總裁楊主光今日舉行記者會,宣布一系列補救措施,包括在未來3個月內,會刪除90萬舊客戶的資料,同時抽走現有270萬客中的身份證號碼中隨機兩位數字,以及信用卡號碼中的6個數字(第7至12個數字),只用剩餘數字來作帳戶核實之用。

上周TOPick曾查詢,為何香港寬頻資料儲存7年?當時發言人指,做法是根據《稅務條例》故儲存資料7年,但楊主光今日稱,他們翻查條例後,發現稅局只要求保留財務資料,而非客戶資料,所以決定刪除客戶資料,令黑客對他們的資料庫再不感興趣。

他續指,日後若客戶不再使用香港寬頻的服務,其不完整的身份證、信用卡號碼等資料,亦最多只會儲存半年,較以往7年大幅縮短。他解釋,由於服務多是月付形式,即使客戶本月停用,下月仍須付清帳單,故公司需要數個月時間與客戶協調包括「追單」,故半年時間實屬合理。

楊主光指所有舊客戶資料只儲存於該資料庫中,但承認沒有將儲存資料庫的伺服器,由網絡抽走,亦遺漏了進行加密。他亦指,目前未知受影響的客戶資料,有多少已洩漏。今次涉及的38萬名客戶資料中,有10多萬為固網用戶,約22萬名為IDD客戶。

早前有客戶指於兩至三年前申請服務,仍收到受影響通知。他解釋,部分客戶可能於十多年前申請IDD服務,每年只打數次電話,惟之後亦沒有要求停用服務,故資料尚儲在資料庫。故在未來3個月,將通知過往6個月沒有使用IDD的用戶,會刪除他們的資料。

至於會否向受影響客戶賠償,楊指出,若證明公司在法律上須為事件負上任何責任,香港寬頻願承擔。他又指,目前收到1萬個客戶查詢,有1,000名為受影響客戶,部分客戶要求停用服務,與公司協調後,獲免除拆機費。

楊指出,將向監管機構包括通訊事務管理局辦公室、個人資料私隱專員公署諮詢,了解該些安排會否違反監管法例。另會向警方了解,刪除資料會否影響調查。

香港寬頻行政總裁楊主光最後向員工致謝,感謝他們連日來處理事件。(張永康攝)

問及補救措施是否「後知後覺」,楊主光表示,將客戶資料保留7年,是業內一般做法,承認之前有不足,但會改善,又指新訂措施是最高標準,不相信業內有其他公司有實行。他又認為,若公司資料庫的客戶資料是不完整,可減低黑客盜用風險,「好似一間銀行只有銀幣,沒有紙幣,賊人會否仍來盜竊。」

香港寬頻發言人表示,以往要儲存客戶資料達7年,乃受通訊辦及民事訴訟條例規定,建議企業至少保留資料6至7年。在新措施下,已關閉及帳戶沒有結欠的客戶之個人資料只會保留6個月,未必符合建議,惟鑑於以往與客戶之間鮮有出現法律糾紛,為釋疑慮,保障客戶,故不再堅持7年期限。

香港寬頻今午發公告指上周一(16日),發現一個存有已停用資料庫的伺服器被一未知方入侵,該資料庫包含集團截至2012年、約38萬條固定及IDD服務客戶及服務申請人記錄,約佔整體360萬條客戶記錄的11%,資料包括姓名、電郵地址、通訊地址、電話號碼、身份證號碼及約4.3萬條信用卡資料。香港寬頻稱已報警處理。