立法會議員 葛珮帆
政府部門及公營機(jī)構(gòu)近年接二連三發(fā)生外洩市民個人資料事故��,引起公眾對私隱安全問題的關(guān)注�。無論如何��,這接連事件已充分反映涉事人員對網(wǎng)絡(luò)安全及保護(hù)個人私隱方面不夠重視和意識不足��。筆者認(rèn)為����,時至今日��,資訊系統(tǒng)已成為政府各個部門業(yè)務(wù)運(yùn)作的核心����,部門管理層實(shí)在不能只把其資訊系統(tǒng)視作單純技術(shù)問題�,只交給技術(shù)團(tuán)隊(duì)或服務(wù)承辦商處理���,而應(yīng)該直接對其資訊系統(tǒng)加強(qiáng)監(jiān)督�����。
繼公司註冊處及機(jī)電工程署後��,消防處日前亦公布發(fā)生有外洩消防處屬員和市民個人資料風(fēng)險的事故�。綜觀近年選舉事務(wù)處�����、數(shù)碼港���、消委會����、公司註冊處及機(jī)電工程署等先後發(fā)生的同類事件�,出現(xiàn)市民個人資料外洩的原因主要是管理及人為因素����。據(jù)此�,本人提出以下四項(xiàng)建議:
一����,鑒於相關(guān)事件發(fā)生後��,各政府部門和公營機(jī)構(gòu)多遲遲未有通報個人資料私隱專員公署�����、媒體及受害人,情況並不理想�,同時,亦反映各政府部門及公營機(jī)構(gòu)對網(wǎng)絡(luò)安全的重視程度及執(zhí)行力不足��,因此����,當(dāng)局應(yīng)就事故進(jìn)行徹查並追究責(zé)任�。
二���,現(xiàn)時政府各部門均設(shè)有部門資訊科技保安主任及資訊保安事故應(yīng)變小組,分別領(lǐng)導(dǎo)該部門的整體資訊保安管理���,和處理日常所有事項(xiàng)��,以準(zhǔn)備�����、偵測和應(yīng)對所有資訊保安事件及事故��。當(dāng)局應(yīng)責(zé)成各政府部門首長及資訊科技部門須對其電腦系統(tǒng)的保安工作問責(zé)��,以保障系統(tǒng)網(wǎng)絡(luò)及資訊安全,如發(fā)現(xiàn)有人為疏忽或違規(guī)��,相關(guān)人員須作紀(jì)律處分�。
密切監(jiān)察網(wǎng)絡(luò)保安威脅
三��,目前所有政府資訊科技項(xiàng)目在系統(tǒng)上線前,必須進(jìn)行「保安風(fēng)險評估和審計(jì)」(SRAA)����,但SRAA並沒有評估系統(tǒng)是否向公眾披露過多和不必要的個人數(shù)據(jù)��,因此��,政府有必要在所有資訊科技項(xiàng)目中引入「隱私數(shù)據(jù)評估和審計(jì)」����,以確保系統(tǒng)不會向公眾披露過多和不必要的個人數(shù)據(jù)���。
四�����,未來「數(shù)字政策辦公室」須密切監(jiān)察網(wǎng)絡(luò)攻擊的趨勢和保安威脅�����,適時發(fā)出警報通知,並提高各政府部門網(wǎng)絡(luò)及資訊安全的即時應(yīng)變能力和防範(fàn)意識�����。
此外���,單就機(jī)電工程署洩漏疫情時「圍封強(qiáng)檢」期間收集的17000名市民個人資料事故��,筆者強(qiáng)調(diào)���,政府部門不應(yīng)把個人私隱數(shù)據(jù)長期儲存在雲(yún)端系統(tǒng)�,若因情況緊急,亦應(yīng)把儲存時間盡量縮短����,涉事人員完成數(shù)據(jù)處理後�,應(yīng)盡快移除數(shù)據(jù)。政府亦應(yīng)督促各部門安排指定人員定期監(jiān)測及監(jiān)管涉及個人私隱敏感數(shù)據(jù)的存儲����,以定期刪除敏感個人數(shù)據(jù)��,並就數(shù)據(jù)安全進(jìn)行內(nèi)部演練����,主動識別和解決潛在風(fēng)險或漏洞,強(qiáng)化安全防護(hù)能力�����。
頂圖圖源:中通社
