文/鄭久慧
施政報告提出, 政府計劃明年內向立法會提交網絡安全立法草案。近期,本港發生不少網絡安全事故,導致市民個人資料外洩,數碼港、消委會、香港郵政等接連遭黑客入侵甚至勒索,反映來自互聯網的威脅無處不在,整個社會都應正視,積極加強防範措施,提升網絡安全。
一、設立強制的資料外洩通報機制
筆者審視各部門及公營機構應對黑客入侵的處理措施,大多能展現承擔,少數一開始似有「側側膊」情況,在苦主投訴聲討後,終有適切回應。
現時最大的問題是相關法例並無硬性規定資料使用者須就其持有的個人資料的外洩事件,通報予個人資料私隱專員公署,故此難以即時啟動通報機制,將對受害者的傷害減到最低。當局應積極考慮修例,令洩漏資料的機構負有法律責任進行即時通報,既能讓受影響人士及早採取預防措施,同時執法部門亦可盡早介入,要求互聯網搜尋器及雲端服務提供者,盡快移除含有被洩個人資料的檔案或連結。若實際執行有難度,當局最少應規定公帑運營的政府部門及公營機構,必須強制即時通報任何資料外洩事件,切實履行其社會責任。
二、科技券在網絡保安方面的應用非常低
創新科技署在2016年11月開始推出「科技券」計劃,最初的先導計劃已提供高達5億的政府承擔額,務求資助本地中小企業全方位使用科技服務方案,從而提高生產力或實現升級轉型。企業反應熱烈,單在首年已吸引到2500間中小企在計劃網站進行登記,首年合資格獲評審個案共223宗,當中207宗獲批資助,成功批核率高達93%。
然而,筆者翻查立法會數據,顯示獲批個案中涉及網絡安全的項目少得可憐,於2017年至2021年4年間僅僅批出75個涉及網絡安全的項目,當中中小企獲批數目為64宗。無疑這個數字反映香港企業對網絡安全的關注非常不足,即使在2020年4月後,「科技券」加碼至每個獲批項目的政府資助比例由三分之二提高至四分之三,而每名申請者的資助上限亦由40萬元增加至60萬元,同時獲批項目數目的上限亦由4個增至6個,亦未見相關申請大幅增加。故此政府應鼓勵企業踴躍就網絡安全申請津貼,完善安保措施。
三、修例直接規管資料處理者
香港法例第486章《個人資料(私隱)條例》(《條例》)的立法核心基於六大保障個人資料的原則,包括(一)收集目的及方式、(二)準確性及保留期間、(三) 資料的使用、(四)資料的保安、(五)透明度、(六)查閱及改正,引導社會基於這六項基礎來進行恰當的個人資料處理,但不足之處在於缺乏對資料使用者(Data User)的具體行為進行詳細規範。
另一更顯而易見的漏洞是資料處理者(Data Processor) 並不受條例直接規管,資料處理者是指非為本身目的而是代資料使用者處理個人資料的人,例如外聘的資料輸入員。所以,條例一直依賴資料使用者去負起責任,透過合約、規範、工作要求等方式,確保其聘請的資料處理者符合條例相關的要求。這個問題自從2012年《條例》大幅修訂後,一直為法評人詬病,未來政府宜考慮修例一併讓個人資料私隱專員公署可以直接規管資料處理者。
四、進一步賦權予個人資料私隱專員公署
在2021年,政府修例,銳意打擊侵犯個人私隱的「起底」行為(《條例》第64條),列作刑事罪行處理,並賦權私隱專員就「起底」個案進行刑事調查和檢控,至今已有不少成功入罪的案例,大大遏止了自黑暴以來非法披露個人資料的社會歪風,值得一讚!
然而,明顯政府可以行多一步,賦權私隱專員追究違法的資料使用者的刑責。現時《條例》第66(1)條規定,任何個人如因資料使用者違反條例下的規定而蒙受損害,則該名人士有權就該損害向有關的資料使用者申索補償。而條例第66B條則容許私隱專員為此類民事索償提供協助,細看第66B(3)(d) 條列明「專員認為適當的其他形式的協助」,故此協助範圍是很廣的,既然如此,何不賦權讓專員就更多洩露個案提出刑事起訴,並由法庭頒下賠償,節省法律成本,更充分保障受害人利益。
總括而言,提升網絡安全,就網絡安全法盡快立法,並適當修例確保《個人資料(私隱)條例》與時並進,不但能清晰界定營運商的網絡安全責任,亦能保障市民個人私隱,杜絕黑客入侵勒索,保護公民數據安全。
收藏
取消收藏
分享
