文/鄭久慧
香港法例第486章《個人資料(私隱)條例》(《條例》)的立法核心基於六大保障個人資料的原則,包括(一)收集個人資料的目的及方式,(二)準確性及保留原則,(三)資料的使用,(四)資料的保安,(五)透明度,(六)查閱及改正原則,引導社會基於這六項基礎來進行恰當的個人資料處理。
但《條例》有兩大不足,其一是缺乏對資料使用者(Data User)的具體行為進行具懲處效力的詳細規範;其二是法例僅規管資料使用者,卻不直接規管資料處理者(Data Processor)。資料處理者是指非為本身目的而是代資料使用者處理個人資料的人,包括外判商的研發技術員及資料輸入員。故此,《條例》一直倚賴資料使用者透過合約、規範、工作要求等方式,確保其聘請的資料處理者符合保障私隱的法定要求。
近日醫管局發生嚴重資料外洩事件,超過5萬名病人的敏感資料被人放到暗網允許下載,總下載量已達8000次,直接威脅到市民的個人私隱及生活安全。警方正積極調查中,一名醫管局的外判承辦商人員被捕。
筆者有以下三個看法:
一、私隱專員能否將直接規管資料處理者納入修例範疇
這宗醫管局資料外洩事件牽連者眾,引發社會廣泛關注,私隱專員有必要採取即時措施,盡快優化法例,避免事件重演。上月私隱專員曾表示,回顧去年工作,發現資料外洩事故按年大升21%,計劃今年內向立法會提交修例建議,涵蓋資料外洩事故強制通報機制,以及行政罰款機制,但是並未指明罰款對象是資料使用者或資料處理者。而且據專員指出,在制訂罰則時,會綜合考慮公司的財政狀況、違規情節的嚴重程度,換言之,未必會有嚴厲罰款,專員更表示罰款機制或可稍後推行。
罰款機制阻嚇力度預料非常有限,一旦出事被罰,資料使用者亦可能將罰款轉嫁到資料處理者(外判商)身上。最根治的方法應是政府修例,一併讓個人資料私隱專員公署可以直接規管資料處理者,以法例準則約束其行為,並追究刑責,而非單倚賴過時的「有犯罪或不誠實意圖而取用電腦」罪執法。期盼私隱專員能將這項重要修訂在今年提交立法會,立法會議員們又能急市民之所急,因應醫管局此次重大外洩事件,盡快將修例推上諮詢及審議的議程表。
二、外判商造成外洩風險早有往例 為何逾年仍未加強監管
近幾年資料外洩事件頻發,也有部門自行發現保安漏洞,涉數碼港、機電署、香港郵政、消委會等。在2024年5月,消防處發現潛在資料外洩風險,外判商轉移資料時擅自更改資料讀取權限,涉近500名市民及多達5000名消防處職員的個人資料。同月,公司註冊處公布查冊系統存在嚴重漏洞,外判商設計系統時,設定在三種情況下會向客戶端顯示額外個人資料,約11萬名公司管理人員的個人資料受影響。
本次醫管局外洩事件,據媒體披露,可能涉一名外判商人員在未獲授權下,遠端非法下載病人及醫護人員的資料,並於第三方平台洩露。這就衍生出來五點考量:
其一,為何醫管局容許外判商能夠遠端訪問存儲敏感個人資料的數據庫?甚至給予下載權限?
其二,為何醫管局作為資料使用者,似乎未對資料處理者(外判商)處理資料的遠端裝置,即外判商用來下載資料的電腦設備,訂立嚴格的上載追蹤、防黑客入侵、數據加密、用戶登入要求。
其三,最有效避免外判商外洩資料的方法,就是規定外判商必須親自到醫管局現場作業,在醫管局人員監督下進行,避免遠端擅自下載敏感資訊。醫管局能否優化措施,終止遠端維護,增加人力資源配合外判商的實地工作。
其四,有時,數據保安是具體操作層面的問題,不純屬法律條文。一般來說,系統維護與升級往往只能在非辦公時間,例如凌晨時分進行。但具體調試糾錯工作又常常須在真實運行的系統中進行,所以難以完全避免外判商工程人員接觸到真實數據。因而,應要求外判商盡量在醫管局現場進行調試工作,避免遠程,否則難以監管。
其五,醫管局可優化工作流程,在容易發生外洩風險的步驟,增加人手實地監督,以雙密碼驗證方式進行,由醫管局職員與外判商同時進行雙重認證,確保共同操作,就能減少洩密機率。此外,在系統升級時,可能涉及從舊系統先導出現有數據,再導入新系統,兩個系統可能因研發時間不同,採用不同的加密方式,故中間須先把數據解密,這便是可能洩露資料的環節,此時最好由醫管局人員親自監督,並在醫管局現場進行。
事實上,現時私隱公署的《資料外洩事故的處理及通報指引》保障資料第4(2)原則已經規定,如資料使用者聘用(不論是在香港或香港以外聘用)資料處理者,以代該資料使用者處理個人資料,該資料使用者須採取合約規範方法或其他方法,以防止轉移予該資料使用者作處理的個人資料被未獲准許或意外地被查閱、處理、刪除、喪失或使用。
三、數字辦能否加強監管擁有大量市民私隱的政府部門及公營機構
數字辦作為特區政府負責制定資訊及通訊科技政策、策略、計劃及措施的集中專責部門,對本港的網絡資訊保安負有首責。據數字辦官網指出,政府各局/部門須遵循《政府資訊科技保安政策及指引》所載的規定,而相關資訊保安原則基本上與私隱專員公署制訂的《資訊及通訊科技的保安措施指引》內所述的建議措施方向一致,包括須加密傳輸中和存儲中的資料;不可於公有雲平台存儲敏感及個人資料;以及各局/部門須定期為其資訊科技基礎設施、資訊系統及數據資產進行保安風險評估及審計等。數字辦已經發布《資訊及通訊科技的保安措施指引》,供業界(包括公私營機構)參閱及按其情況制訂適用的資訊科技保安措施。
但是,細看數字辦發布的《政府資訊科技保安政策及指引》,當中與個人資料息息相關的「數據私隱保安指引」欄目之下,竟然沒有數字辦自己訂立的規則,僅包含三份文件,分別來自私隱公署的參考資料、香港電腦學會的指南及美國政府的法案。這令人有點啼笑皆非,數字辦是公帑俸養的技術部門,負責技術層面的實務工作,私隱公署又不是搞技術的,把這方面推諉給私隱公署並不恰當。數字辦難道沒能力根據這來自香港與美國三份文件,綜合出一份適合本港情況的技術實務指引嗎?
筆者認為,由於政府部門及公營機構無可避免坐擁大量市民個人資料,本港私隱法例仍亟待完善對資料處理者(外判商)的直接規管,為免未來繼續發生大規模個人資料外洩事故,數字辦責無旁貸,應從速訂立詳細指引彌補現時私隱條例的不足!
收藏
取消收藏
分享
