11月14日，香港私隐专员公署发表两份与个人信息安全及数据安全相关的调查报告：（一）医思健康透过统一系统互用旗下品牌客户的个人资料；及（二）快图美（远东）有限公司（快图美）数据库遭勒索软件攻击。

其报告情况总结如下：

• 向客户提供清晰易明的收集个人资料声明，让他们了解机构收集其个人资料的目的及其个人资料可能转移给哪些类别的人士；
• 为新目的使用（包括披露或转移）客户的个人资料前须先取得客户的同意；
• 按照业务的范畴及职员的职权，适当设定职员查阅或存取客户个人资料的权限；
• 在构思或推行任何涉及处理大量个人资料的计划前，应先进行私隐影响评估，以及根据评估结果对有关影响及风险采取充分保障个人资料私隐的措施；
• 实施个人资料私隐管理系统，把个人资料私隐保障纳入机构的管治责任；
• 委任保障资料主任，确保机构遵从《私隐条例》的规定及推行私隐管理系统，建立尊重个人资料私隐的文化。

• 错误评估安全漏洞的风险；
• 资讯系统管理有欠妥善；
• 拖延启用多重认证功能。

• 应时刻提高警觉，防止黑客攻击，定时进行风险评估，以检视黑客攻击对系统可能带来的影响；
• 设立个人资料私隐管理系统，循规处理个人资料，并有效处理个人资料的整个生命周期；
• 委任专责人员作为保障资料主任，监察《私隐条例》的遵从；
• 提升资讯系统管理，包括制订有效的修补程式管理程序，尽早修补保安漏洞；
• 妥善记录内部通讯，以便日后检讨时参考。

*来源：香港个人资料私隐专员公署