聖保羅男女中學疑爆侵犯私隱風波 涉在學生電腦裝追蹤程式查紀錄 教育局:要求校方檢視機制
https://hk.news.yahoo.com/%E8%81%96%E4%B...36941.html
港島區名校聖保羅男女中學疑爆出侵犯學生私隱風波。最少 3 名自稱該校學生在 Instagram 專頁匿名舉報,指聖保羅男女中學推行學生自備電腦學習政策,但在日前開始要求學生交出電腦,讓校方安排的人員安裝活動追蹤程式,自此學生不論在校內校外的電腦使用情況,包括通訊軟件、社交媒體的聊天內容、數碼足跡等都被校方知悉。根據投訴內容,據悉有學生因為在家中用私人電腦打機亦被校方責備,學生安裝非學習程式亦被禁止。舉報的學生質疑,校方的做法已經觸犯《個人資料(私隱)條例》。
《Yahoo 新聞》已向警方查詢,正候回覆。
校方:檢查為防範感染病毒及惡意軟件程式
聖保羅男女中學回覆《Yahoo 新聞》,校方指早已推行電子學習,學生在校內使用平板電腦時只可作學習用途,是次檢查旨於以抽樣形式了解學生的使用情況,確保他們能妥善地使用,並防範被不慎使用而感染電腦病毒或下載任何惡意軟件程式,從而危及校園網絡安全;。
校方指,是次檢查參考自教育局建議與家長及學生簽訂的「自攜裝置及可接受使用政策」,過程中使用的USB「只收集了學生在校內上課期間的瀏覽紀錄、程式安裝及使用紀錄」,相關資料於檢查及跟進後會作永久銷毀。
教育局:接獲有關查詢
教育局回覆《Yahoo 新聞》,證實最近接獲有關查詢,已聯絡學校了解事件,並要求學校檢視有關處理學生個人資料的校本機制。
個人資料私隱專員公署回覆《Yahoo 新聞》則表示,截至今日(3 月 28 日)公署未有收到與事件相關的投訴。公署會主動接觸相關學校,了解事件。
有舉報的學生指,校方以往曾經要求學生簽署一份關於自備裝置「Bring Your Own Device」(BYOD)的同意書,有條文定明校方可以取得學生電腦內的一切資料。據學生說法,校方聲稱這樣是強化了「以學生為中心」的學習環境,學生又可以成為精通數碼環境的 21 世紀公民。該學生未有提及同意書的具體條款。
如有任何人可提供該同意書,請向 Yahoo 雅虎香港 Instagram 專頁報料
另一名舉報的學生指,校內設有由學生組成的推廣網絡安全專隊,他們曾經在某個星期一指,由於發現學生在校內、校外使用 BYOD 裝置打機的情況相當普遍,專隊要聯同校方專責資訊科技工作的 IT Office 搜查同學電腦資料。到了周二,有中一同學就接獲班主任通知,中午要到 IT office 檢查電腦。據接受過檢查的同學指,IT Office 職員會將 USB 裝置插入同學的電腦,事後發現電腦多了 3 個 Excel 檔案,並獲告知不能自行刪除,「關於電腦使用資料的詳細活動將會稍後製成一份報告給予同學」。
到了周三,疑似來自專隊的同學,開始透過不同渠道發放消息,指在校外下載的遊戲程式,不論有否在校內使用都會被檢查,「而且刪除只會導致情況更加嚴重」,有同學聞言後隨即自行將電腦回復至出廠設定。到了翌日,再有人發放消息指,學校職員會在檢查學生的 BYOD 裝置期間,查看同學在軟件的訊息內容,以及電腦中的個人文件,照片,以及聊天記錄。
該名學生指,關於事件的流言事隔幾日已引起同學恐慌,訓導主任於是在周五向被檢查的同學解釋不會有突擊檢查,「學校只是想為同學好,請不要把謠言放上 secrets 平台」,但在同一時間,就傳出中一 A、B、C 學生遭突擊檢查,學生聞言隨即暫避;之後亦有老師指,相關檢查會定期進行。
上述學生說,學生如果拒絕接受檢查,或者無帶電腦,均會被訓導主任責備。至於另一名舉報的學生就質疑校方無限擴權,指如果在家中打機都要被批評,而且聊天內容都被監視,「非上學時間都唔可以做返自己,係咪真係佢哋所講嘅學生自主?」
這名學生說,校方從來無透露檢視了同學電腦的哪些內容,「只係講係查電腦過往紀錄」。這名學生並強調,校方「冇權睇同管聊天內容,而學校亦應該處理學校範圍內嘅事,冇權鬧喺屋企用電腦打機嘅同學」,質疑校方有隱瞞和越界,都有觸犯「不誠實取用電腦」罪之嫌。
有學生指出,校方要求學生購買一部約 7000 元的電腦,或自備私人電腦。該名學生認為,學生自資購買電腦,認為是自己的財產,在家中用電腦的紀錄卻被校方管控,這樣是不合理。他續指:「你睇下 chrome history 有冇打機我都明白,但係 IT 部係會睇埋你任何喺部機上面既 personal account, files, app, 仲要同人地喺 microsoft teams 啲 chat 紀錄都睇埋。如果你用開 vpn 仲大件事,佢會話你想 bypass 學校網絡嗰啲限制,即刻送你去訓導部度。如果你有任何打機紀錄,唔係學校用既 app,佢地就會記過,真心覺得好癡線。」
校董會2019 年聲明學生不可參與違法示威集會
據聖保羅男女中學網頁,該校校董包括主席、太平紳士遴選委員會成員鄭慕智,全國政協委員李民斌,及牧師兼選委界議員管浩鳴等。2019 年時,聖保羅男女中學校董會曾表示,學生在校內校外都不可以參與違法的示威或集會,所有人均不可利用學校作平台,在校內宣示個人政治立場或主義。違反的學生會被視為違反校規,面臨紀律處分。
私隱公署辦嘉許計劃 專為中學生而設 冀締造尊重個資校園環境
https://std.stheadline.com/realtime/arti...0%E5%A2%83
新界六旬漢涉「起底」前同事被捕
https://www.am730.com.hk/%E6%9C%AC%E5%9C...%95/447613
黑客勒索消委會|私隱署裁消委會違例 5大缺失致450人資料外泄
https://www.hk01.com/article/1015651
消費者委員會電腦系統去年遭黑客以勒索軟件惡意入侵,個人資料私隱專員公署今日(2日)發表調查報告,指事件中有450人的資料外泄,涉及有黑客組織取得消委會一個有管理員權限的帳戶憑證,之後以虛擬私有網絡進入消委會網絡。
公署指,消委會有五大不足,包括無啟用多重認證功能及欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料等,認為其無採取切實步驟確保個人資料不被泄漏,違反《私隱條例》第4原則規定(即採取一切切實可行的步驟,保障個人資料不會未經授權或意外地被查閲、處理、刪除、喪失或使用。)私隱專員鍾麗玲指已向消委會送達執行通知,指示消委會糾正及防止類似違規情況再發生。
私隱專員公署調查發現該黑客組織取得消委會一個具管理員權限的帳戶憑證,隨後透過虛擬私有網絡(VPN)進入消委會的網絡,並對消委會的伺服器及端點装置進行勒索軟件攻擊,導致消委會的93個系統遭到惡意加密,11個伺服器及端點裝置被黑客入侵。
涉450名人個人資料 包括289投訴人及100多名現職及離職員工
網絡安全專家亦確實,事故中有四個載有個人資料的檔案遭受未獲准許的查閱,涉及超過450名人士的個人資料,包括289名投訴人、26名資訊科技服務供應商的員工、162名消委會的現職及已離職員工。
鍾麗玲:消委會欠缺足夠保安措施禁止或防止測試伺服器内存個人資料
根據調查所獲證據,鍾麗玲認為消委會有五大缺失致事故,包括沒有為遠端存取資料啟用多重認證功能,導致黑客能利用獲取的帳戶憑證進人消委會的網絡、進行勒索軟件攻擊,以及查閱消委會所持有的個人資料;消委會亦沒有妥善設定用作偵測及攔截網絡安全威脅的網絡安全軟件,導致該網絡安全軟件在偵測網絡安全威脅後未能向消委會發送警報電郵。
消委會亦欠缺足夠保安措施禁止或防止於測試伺服器内儲存個人資料,導致消委會持有的289 名投訴人的個人資料因人為錯誤或疏忽而被儲存於沒有配置網絡安全軟件的一個測試伺服器內,隨後遭受黑客攻擊。
沒有資訊科技保安檢視規定及程序供員工依循
此外,消委會在資訊保安政策亦有欠全面及具體,未有提供全面及具體的網絡保安框架或資訊科技保安檢視規定及程序供員工依循。
鍾麗玲亦指,消委會在保障個人資料私隱及網絡安全意識不足,因除了因人為錯誤或疏忽而儲存個人資料於測試伺服器外,調查亦發現一名前資訊科技部員工沒有於系統設定實施消委會訂定的複雜密碼政策,令有關政策在事發時未有被貫徹實施。
調查多次提及消委會資訊科技部門缺失,私鍾麗玲表示,消委會有解釋部份保安措施未能落實是因為部門人手不足,而當中未能設多重認證則因需在員工軟件到加另一軟件而受到阻力。她又提到,黑客取得的具管理員權限的帳戶憑證為資訊科技部門,惟該員工亦不何外洩的原因。她呼籲,為保證數據安全,不論大小企業「都唔好慳錢」,投放適當資源在資訊系統,特別是客戶的個人資料。
公署共接獲20宗查詢及8宗投訴
公署在此次事件中接獲20宗查詢及8宗投訴,鍾麗玲表示,希望今次事件可以有警示作用,特別是此些缺失都為無需用很多資源已可以彌補。至於相關資料是否已外洩在「禁網」,她則指,在網絡世界「今日無唔代表聽日無,聽日無唔代表後日無」,又強烈建議機構遇上被黑客勒索,千萬不要給贖金,因為即使比了錢亦不代表個人資料可以取還。
個人資料私隱專員公署列消委會五大缺失:
1/沒有為遠端存取資料啟用多重認證功能
2/沒有妥善設定用作偵測及攔截網絡安全威脅的網絡安全軟件
3/欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料
4/資訊保安政策有欠全面及具體
5/保障個人資料私隱及網絡安全意識不足
私隱公署發7項執行指令要求消委會兩個月內執行
鍾麗玲認為,消委會違反了 《私隱條例》第4原則中有關個人資料保安的規定,確保其持有個人資料受保障而不受未獲准許或意外泄漏,被查閱、處理及刪除等。私隱專員公署向消委會發出7項執行指令,要求兩個月內、即6月29日須提交證據證明已執行,否則屬違法,公署會跟進。
市民報告網上看到14座強檢公屋住戶個人資料 機電署致歉將致函通知
https://news.tvb.com/tc/local/6633a73935...A%E7%9F%A5
一線搜查|電話卡實名制存漏洞 女子疑遭盜用身份 一間電訊商登記17張儲值卡
https://www.i-cable.com/%E6%96%B0%E8%81%...8%E8%BA%AB
電話卡實名制實施後,每位市民可以向每間電訊商登記最多10張儲值卡。惟近日有觀眾向《一線搜查》報料,指懷疑自己身份遭人盜用,在同一間電訊商竟查出名下登記的儲值卡竟多達17張。
原本有一張儲值卡的楊小姐,早前再購入一張,惟登記時顯示其儲值卡配額已滿,她遂致電電訊商熱線查詢,惟對方只著她前往門市。楊小姐在門市一查,始發現原來她並非被人登記10張儲值卡,而是有17張,而該批儲值卡由去年9月開始登記,並沿用至今。
楊小姐批評該電訊商未有詳細交代事件,她直言自己在事件中亦是受害者,惟門市員工在協助取消17張儲值卡後,就沒有後續跟進。她說,「你(電訊商)是不是應該要告訴我,究竟為甚麼我名下有那麼多張卡,因為這些資料是屬於我的,你也應該知道我在哪裡開儲值卡,這樣不合理,你對我連一個交代也沒有。」
她指出,自己從未有遺失身份證,而即使被人盜用身份,同一電訊商的儲值卡上限亦最多10張,「系統指我有10張儲值卡時,已經不讓我登記多一張,即是證明系統沒有問題。那為甚麼我會發現有17張,如果是這樣的話,是不是有漏洞?」楊小姐對於職員的回應亦相當不滿,「如果不是我不斷要求見經理,由始至終,他們也未必會答我。那些職員不斷說不知道為什麼,不知為什麼。電訊商最後幫楊小姐取消16張卡。」
由於擔心私隱外洩,楊小姐事後也立刻去報警,但因為無財物損失只能夠備案。
而《一線搜查》記者根據楊小姐提供的資料,在警方的防騙視伏器上輸入該些儲值卡的號碼,但是沒發現。不過,在一些截查推銷電話的網頁中,就發現部分號碼曾經與財務借貸的推銷有關。
涉事電訊商回應指,知道事件後已經立即展開調查及跟進,而楊小姐的儲值卡是分別屬於集團旗下兩間電訊商,由於每人可以向每間電訊商登記最多10張儲值卡,所以做法是合乎規例。發言人又指,查看過該批電話卡登記時使用身份證的照片,發現真正由楊小姐自己登記的那張及懷疑被人盜用的那10多張,兩者的拍攝角度及背景明顯不同,所以排除有資料外洩的情況,當知道客戶已經報案後,已經主動聯絡警方,會全力配合調查及提供一切所需協助。
個人資料私隱專員公署回覆查詢時指,由實名登記正式生效至今,一共收到5宗有關個人資料被盜用作電話智能卡實名登記的投訴,署方表示,不會評論個別個案,但是如果懷疑個人資料私隱受到侵犯,而又可以提供表面證據,可以向署方查詢或投訴。
就楊小姐的個案,通訊辦表示,收到查詢後已經主動聯絡相關電訊商了解詳情,並即時要求他們提交報告,但由於事主已經報案,現階段不宜作出評論。另外,通訊辦表示,有要求電訊商進行抽查,截至今年3月底,有大約190萬張電話儲值卡,因未能提供登記資料而被拒絕登記,另外,亦取消大約138萬張,登記紀錄未合規格的儲值卡。