文/鄭久慧
近期,本港接連發生涉及政府部門的個人資料外洩事故,這是繼去年數碼港、消委會、香港郵政等遭黑客入侵勒索後,涉互聯網的危機再現,當局應正視問題,清晰權責,積極加強防範措施,不單要約束部門,更要規管外判商。
各部門保障個人資料「冇王管」?
本月2日,機電署爆出涉及1.7萬名市民的資料外洩事件,署方在協助新冠「圍封強檢」時收集到的14棟公屋大廈的住戶姓名、聯絡電話、身份證號碼及地址並未及時銷毀,釀成本次事故。記者向政府新聞處查詢後,更發現其他參與抗疫工作的部門在處理圍封行動所獲個人資料的方式各異,缺乏統一指引和督導。
本月3日,公司註冊處公布查冊系統的承辦商設計系統時,存在嚴重漏洞,竟會將額外個人資料傳送至客戶端,並且會在三種情況下向客戶端顯示額外個人資料。據報多達11萬人受影響,多為公司老闆及董事,其全名、身份證號碼、護照號碼、住址、電話及電郵均可能外洩,無疑對香港作為金融中心帶來負面影響。
至本月6日,消防處發現潛在資料外洩風險,因外判商轉移資料時擅自更改資料讀取權限,形成潛在外洩漏洞。事件涉近500名市民及多達5000名消防處職員的個人資料,這些市民在去年9月超強颱風「蘇拉」吹襲期間,通報樹木倒塌事故,所涉資料詳情包括市民的姓氏及電話號碼,足以顯示處方在應對個別緊急事件的保密預案不足,無法妥善保護報案人私隱。而消防處作為紀律部隊之一,在應對意外、天災、恐襲等緊急事件有重要角色,其職員個人資料應屬於國安級別的機密,竟然可以讓外判商自行轉移,任設讀取權限,這是將香港的社會安危置於何地?
資訊保安事故突顯修例迫切性
連串資訊保安事故突顯現有私隱法例不敷應用,應修例直接規管資料處理者,避免政府部門的資料數據庫成為「無掩雞籠」。
香港法例第486章《個人資料(私隱)條例》的立法核心基於六大保障個人資料的原則,包括(一)收集個人資料的目的及方式,(二)準確性及保留原則,(三)資料的使用,(四)資料的保安,(五)透明度,(六)查閱及改正原則,引導社會基於這六項基礎來進行恰當的個人資料處理。
但《條例》有兩大不足,其一是缺乏對資料使用者(Data User)的具體行為進行詳細規範;其二是法例僅規管資料使用者,卻不直接規管資料處理者(Processor)。資料處理者是指非為本身目的而是代資料使用者處理個人資料的人,例如外判商的技術員及資料輸入員。故此,《條例》一直倚賴資料使用者去負起責任,透過合約、規範、工作要求等方式,確保其聘請的資料處理者符合保障私隱的法定要求,但最根治的方法應是政府修例,一併讓個人資料私隱專員公署可以直接規管資料處理者,以法例準確約束其行為,免生消防處外判商擅自更改個人資料讀取權限的情況。
資科辦是「沒權」還是「辦事不力」?
政府資訊科技總監辦公室(資科辦,OGCIO)在本月5日對數個部門出現資訊保安事故表示高度關注,再次向所有決策局及部門首長發出清晰指示,要求部門全面檢視現有資訊保安措施,並禁止將敏感及個人資料存儲在公有雲平台。據知,資科辦僅給予部門一星期時間回覆確定。
驟眼一看,資科辦的工作無可挑剔,但資科辦這話說得好像OGCIO長年派駐於各政府部門的IT員工是「隱形人」一樣,白𢭃人工不幹活,浪費納稅人金錢一般。難道各部門內部資料處理的流程及保安漏洞,這些人一無所知嗎?如果知道,為何資科辦不設指引,要求他們上報保安漏洞,從而及早察覺風險,防範於未然?
老實說,資科辦作為特區政府負責制定資訊及通訊科技政策、策略、計劃及措施的集中專責部門,對本港的網絡資訊保安負有首責。在地緣政治日漸緊張的今天,我國華為和TikTok等科技企業被美西方迫害的大環境下,為何OGCIO的政府供應商名單仍有大量外國公司?這些外判供應商可接觸特區政府的各級資料,分分鐘造成潛在的國家安全危險,OGCIO難道一無所覺?資科辦有何對策引入內地供應商,全面確保本港的資訊安全呢?
而港人常用的社交媒體、即時通訊軟件、電郵,絕大部分均為美國科企提供,變相把香港人的資料都拷貝到美國去了,堪稱最大規模的「個人資料外洩」。資科辦鼓勵過本地研發替代品,從而減低市民對西方的倚賴嗎?
相關閱讀:
消防處電腦系統也「爆雷」 約480市民及5000屬員個資恐外洩
收藏
取消收藏
分享
