加拿大投资监管机构 Canadian Investment Regulatory Organization（CIRO） 本周三发布公告，确认其在 2025年8月发生的网络安全事件，实际影响范围远超最初披露，约75万名加拿大投资者受到波及。

根据CIRO披露的信息，此次数据泄露事件中，被潜在泄露的个人及财务信息范围广泛，包括但不限于：

• 出生日期

• 电话号码

• 年收入信息

• 社会保险号码（SIN）

• 政府签发的身份证件号码

• 投资账户号码

• 投资账户对账单

这些受影响的投资者，可能是 CIRO成员券商的现任或前任客户。

CIRO在公告中表示：“我们对此次事件深表遗憾，并对由此带来的不便或担忧表示诚挚歉意。”

数据来源：监管履职过程中依法收集

CIRO强调，这些投资者信息并非异常收集，而是其在履行法定监管职责过程中，通过调查、合规审查以及市场监管工作，在“正常业务流程”中取得的数据。

监管机构指出，截至目前，尚未发现任何证据显示相关信息已被滥用。

同时，CIRO明确表示，其不掌握投资账户的登录信息，例如密码、安全问题或PIN码，因此这些信息并未处于风险之中。

无法按个人要求删除数据，引发关注

在CIRO为受影响投资者设立的信息页面中，监管机构说明，其会在数据不再用于调查、合规评估或市场监测后进行删除，但无法受理个人提出的单独数据删除请求。

这一表态，也引发了外界对于监管机构数据留存周期与个人隐私权之间平衡的进一步讨论。

提供两年信用监控与身份盗用保护

CIRO表示，已开始主动联系所有受影响的投资者，并将提供 为期两年的信用监控及身份盗用保护服务。

相关通知信函将通过电子邮件或普通邮寄方式陆续发出，发放工作已于本周启动。

CIRO 总裁兼首席执行官 Andrew Kriegler 表示：

“我们致力于对所有受到个人影响的投资者负责。作为一家以公共利益为核心的监管机构，隐私和信息安全对我们而言至关重要。我们将持续加强自身的网络安全防护和数据安全实践，同时支持整个投资行业提升相关能力。”

事件回顾：钓鱼攻击引发，最初披露范围有限

此次网络攻击源于 一次钓鱼（phishing）攻击，CIRO于 2025年8月11日发现异常。

在最初通报中，监管机构仅表示注册信息遭到泄露，包括从业人员的住址、电话号码，以及外貌描述信息（如眼睛和头发颜色）。当时，CIRO称所有共同基金和投资交易商及其相关个人均受到影响。

• 8月18日：CIRO首次通知成员机构

• 9月9日：开始向受影响的注册从业人员发出书面通知

潜在集体诉讼正在推进

值得注意的是，CIRO目前正面临一宗 潜在集体诉讼。

该诉讼于 2025年10月 向魁北克高等法院提交，代表对象包括：

“所有其个人或财务信息由CIRO持有、并在此次数据泄露事件中遭到泄露的人士，或曾收到CIRO关于该事件通知信函的人士。”

在本周的最新公告中，CIRO首次正式确认，除注册从业人员外，数十万名普通投资者同样受到影响。

调查历时9,000小时，确认事件全貌

CIRO表示，事件发生后已迅速控制风险，并立即采取措施加固系统安全，同时向执法部门及所有相关监管机构（包括隐私专员）通报情况。

监管机构还聘请了第三方网络取证专家，对受影响数据范围进行全面调查。

CIRO指出，在完成 超过9,000小时的技术审查 后，现已确认此次网络安全事件的完整影响范围，并将相关结论对外公布