香港寬頻網絡有限公司（香港寬頻）的客戶資料庫在2018年4月遭入侵而導致近38萬名客戶及服務申請者的個資外洩，香港個人資料私隱專員（私隱專員）在事後的調查報告中指出[1]：

1. 香港寬頻在事發時將客戶資料儲存於三個資料庫內。遭入侵的資料庫是其中一個已停用的資料庫，存有截至2012年的客戶和服務申請者的個人資料，包括姓名、電子郵件地址、通訊地址、電話號碼、身份證號碼和信用卡資料。
2. 該資料庫本應在2012年完成系統遷移後即刪除，卻因人為疏忽而被保留，並繼續連接內部網路。香港寬頻遺忘該資料庫的存在，期間亦沒有更新資料庫的修補程式及將資料作加密處理。
3. 香港寬頻在系統遷移後沒有作全面及審慎的檢查，以致未能即時刪除該資料庫。
4. 香港寬頻在事發前沒有仔細考量舊客戶個人資料的保存期限和制定資料保存的內部指引，以及保存舊客戶的資料時間過長。

因此，私隱專員認定香港寬頻違反香港個人資料（私隱）條例中關於「資料刪除」[2]與「資料保留」[3]等規定而違法，並向香港寬頻送達執行通知，要求：

1. 制定清晰的程序，訂明系統遷移後刪除不再需要的資料庫內的個人資料的步驟、時限和監察措施。
2. 制定清晰的資料保留政策，訂明客戶及服務申請者個人資料的保留期限，不得超過將其保存以貫徹該資料被使用於或會被使用於的目的所需的時間。
3. 制定清晰的資料保安政策，訂明定期檢視用戶權限及遠程存取服務的保安措施。
4. 實施有效的措施，確保有關員工知悉和執行上述政策及程序。
5. 根據制訂的資料保留政策，刪除所有超過保留期限的客戶及服務申請者的個人資料。

對照我國個人資料保護法（個資法）規定，第11條第3項前段謂「個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料」[4]，但依筆者執行個資查檢的實務經驗，許多機關（無論公務機關或非公務機關）都易忽略為個人資料（檔案）訂定合理的保存期限（包含具體針對個人資料考量個資法規定的例外保存事由），又或在個資流（data flow）的過程中產製其他影本、電子檔、資料庫而未明確盤點，以致在蒐集目的消失或期限屆滿後，仍持續保存個人資料。

雖然我國個資法對於蒐集目的消失之個人資料並未如香港法律般嚴格要求立即刪除（參見個資法第11條第3項前段之文句「主動或依請求」），但參考上述案例可知，機關在蒐集個資目的消失後，無合法例外事由（表示該個人資料已無用途、無法令要求保留，也無其他保留利益）卻仍保存個人資料，除了潛在的違法風險外，也將造成難以預期的資安風險，實不可不慎。

撰文：王慕民律師

審閱：葉奇鑫律師

• [1] 見https://reurl.cc/QxXM2，最後到訪為2019年3月21日。
• [2] 香港，個人資料（私隱）條例，第26(1)條，「凡資料使用者持有的個人資料是用於某目的（包括與該目的有直接關係的目的），但已不再為該等目的而屬有需要的，則除在以下情況外，該資料使用者須採取所有切實可行步驟刪除該資料—(a )該等刪除根據任何法律是被禁止的；或(b )不刪除該資料是符合公眾利益（包括歷史方面的利益）的」。
• [3] 香港，個人資料（私隱）條例，附表1，保障資料第2(2)原則，「須採取所有切實可行的步驟，以確保個人資料的保存時間不超過將其保存以貫徹該資料被使用於或會被使用於的目的（包括任何直接有關的目的）所需的時間」。
• [4] 例外為「有法令規定或契約約定之保存期限」、「有理由足認刪除將侵害當事人值得保護之利益」、「其他不能刪除之正當事由」或「當事人書面同意」，見個資法第11條第3項但書及個資法施行細則第21條。