在港經營「GLOBAL WORK」、「niko and ...」等多個日本品牌的跨國企業Adastria，去年11月向私隱專員公署通報資料外洩事故。調查發現，公司的網上購物平台遭黑客利用現職員工的管理員帳戶憑證，下載訂單資料，可能竊取近6萬人資料，包括姓名、電話號碼、地址等，全部均屬香港客戶，被盜的個人資料其後可在「暗網」供下載。

私隱專員鍾麗玲指，起初Adastia接獲4名客戶投訴，指收到自稱Adastria員工的可疑來電，因退貨事宜索取客戶的銀行戶口資料，其後公司進行調查，發現有客戶個人資料被竊取，並向公署通報。她說，Adastria是知名跨國時裝品牌集團，認為公司的資料保安意識不足，欠缺適當措施保障個人資料，若公司事發前採取足夠措施，可避免發生外洩事故，因此裁定違反《私隱條例》。

鍾麗玲指，今次個案顯示客戶資料外洩後在「暗網」公開被販賣圖利，被騙徒用於詐騙的個案呈上升趨勢，提醒零售業及持有大量客戶資料的機構，應視個人資料為重要資產，要投放足夠資源於網絡保安及數據安全，保障所持有的個人資料。她又提醒受影響人士，應即時更改帳戶密碼，若收到不明來歷的電郵或來電 ，亦要提高警覺，不要隨便提供個人資料或銀行資料，也不應隨便開啟電郵中的超連結。

珠寶公司被竊逾7萬人資料

在去年同期，公署亦接獲「光雅珠寶貿易有限公司」及分公司「愛飾管理有限公司」的資料外洩事故通報，發現黑客透過暴力攻擊，取得一個具系統管理員權限的帳戶，其後在公司電腦注入木馬程式，盜取及刪除儲存在內的個人資料，涉及約7.9萬人，包括客戶、現職及離職員工等。

公署首席個人資料主任郭正熙指，黑客取得一名已離職13年的員工帳戶，涉事公司稱該名前員工負責電腦程式開發，保留帳戶是作後備支援用途；公署認為，公司沒有適時刪除離職員工的賬戶，亦未有為賬戶啟用多重認證或賬戶鎖定功能，最終成功讓黑客入侵。

鍾麗玲指，涉事公司在外洩事件發生時，未有採取足夠及有效的保安措施，以保護公司持有的個人資料，對於公司未有意識到資訊系統保安風險，感到非常遺憾，裁定違反《個人資料（私隱）條例》。