香港寬頻洩38萬客資料　CEO：未來3個月刪除舊客資料

香港寬頻客戶資料庫上周一被黑客入侵，涉及38萬名固定及IDD服務的客戶資料。香港寬頻行政總裁楊主光今日舉行記者會，宣布一系列補救措施，包括在未來3個月內，會刪除90萬舊客戶的資料，同時抽走現有270萬客中的身份證號碼中隨機兩位數字，以及信用卡號碼中的6個數字（第7至12個數字），只用剩餘數字來作帳戶核實之用。

上周TOPick曾查詢，為何香港寬頻資料儲存7年？當時發言人指，做法是根據《稅務條例》故儲存資料7年，但楊主光今日稱，他們翻查條例後，發現稅局只要求保留財務資料，而非客戶資料，所以決定刪除客戶資料，令黑客對他們的資料庫再不感興趣。

他續指，日後若客戶不再使用香港寬頻的服務，其不完整的身份證、信用卡號碼等資料，亦最多只會儲存半年，較以往7年大幅縮短。他解釋，由於服務多是月付形式，即使客戶本月停用，下月仍須付清帳單，故公司需要數個月時間與客戶協調包括「追單」，故半年時間實屬合理。

楊主光指所有舊客戶資料只儲存於該資料庫中，但承認沒有將儲存資料庫的伺服器，由網絡抽走，亦遺漏了進行加密。他亦指，目前未知受影響的客戶資料，有多少已洩漏。今次涉及的38萬名客戶資料中，有10多萬為固網用戶，約22萬名為IDD客戶。

早前有客戶指於兩至三年前申請服務，仍收到受影響通知。他解釋，部分客戶可能於十多年前申請IDD服務，每年只打數次電話，惟之後亦沒有要求停用服務，故資料尚儲在資料庫。故在未來3個月，將通知過往6個月沒有使用IDD的用戶，會刪除他們的資料。

至於會否向受影響客戶賠償，楊指出，若證明公司在法律上須為事件負上任何責任，香港寬頻願承擔。他又指，目前收到1萬個客戶查詢，有1,000名為受影響客戶，部分客戶要求停用服務，與公司協調後，獲免除拆機費。

楊指出，將向監管機構包括通訊事務管理局辦公室、個人資料私隱專員公署諮詢，了解該些安排會否違反監管法例。另會向警方了解，刪除資料會否影響調查。

▲ 香港寬頻行政總裁楊主光最後向員工致謝，感謝他們連日來處理事件。（張永康攝）

問及補救措施是否「後知後覺」，楊主光表示，將客戶資料保留7年，是業內一般做法，承認之前有不足，但會改善，又指新訂措施是最高標準，不相信業內有其他公司有實行。他又認為，若公司資料庫的客戶資料是不完整，可減低黑客盜用風險，「好似一間銀行只有銀幣，沒有紙幣，賊人會否仍來盜竊。」

香港寬頻發言人表示，以往要儲存客戶資料達7年，乃受通訊辦及民事訴訟條例規定，建議企業至少保留資料6至7年。在新措施下，已關閉及帳戶沒有結欠的客戶之個人資料只會保留6個月，未必符合建議，惟鑑於以往與客戶之間鮮有出現法律糾紛，為釋疑慮，保障客戶，故不再堅持7年期限。

香港寬頻今午發公告指上周一（16日），發現一個存有已停用資料庫的伺服器被一未知方入侵，該資料庫包含集團截至2012年、約38萬條固定及IDD服務客戶及服務申請人記錄，約佔整體360萬條客戶記錄的11%，資料包括姓名、電郵地址、通訊地址、電話號碼、身份證號碼及約4.3萬條信用卡資料。香港寬頻稱已報警處理。