5大缺失資料任睇 數碼港裁違私隱例

私隱專員鍾麗鈴指事件由數碼港5項缺失引致，包括系統欠缺有效偵測措施、遠端操作未設多重認證、保安審計不足、保安政策欠具體，以及不必要地保留他人的個人資料。鍾表示，數碼港僅依賴一款反惡意軟件，電腦系統使用前又未有作事前風險評估，加上按其內部規定，保安審計只有每兩年進行一次，事發前最後一次距離長達19個月，作為大機構網絡保安措施明顯不足。報告又指，規定中只有提到如「合適」﹑「定時」等含糊字眼，卻沒有再仔細釐清。而且因為數碼港超出保留時間後，未有刪除保存的個人資料，導致受影響人數大增，事件中有近5,300名人士為求職者或離職人士，其資料被逾期保存而遭黑客外洩。按數碼港規定，求職者資料只保存一年，僱員資料離職時便會刪除，不過有2016年的求職者個資。因被保存至事故期間而外洩，逾期近7年。

鍾續稱，數碼港作為一間具規模機構，恒常持有並處理大量不同人士的個人資料，持份者和公眾會合理期望數碼港會確保系統和數據，包括個人資料的安全；惟數碼港未有採取足夠措施保障系統安全，亦未有刪除超過保存期限的個人資料，裁定數碼港違規，並向其送達執行通知，要求5月底前糾正違規事項，防止類似事件再發生，包括設立個人資料私隱管理系統，並委任保障資料專家，適時對系統進行風險評估，及適時刪除個人資料，防止類似違規再次發生。而對於現時私隱條例被指權力不足屬「無牙老虎」，專員指署方正研究對違規機構增加行政罰款，望增阻嚇力。

數碼港就事件回應指已加強多項措施，提升各營運層面資訊系統保安及數據安全水平和意識；同時已審視並加強有關個人資料管理的措施，以確保符合個人資料保障原則。數碼港董事、網絡安全事件專責小組主席伍志強表示，已於事發後即時增強網絡及數據防護屏障，防範後續的網絡入侵攻擊，並致力支援受影響人士，盡力減低潛在影響，以及全面配合有關部門調查，同時亦會加強內部審查，定期檢視執行資訊保安措施的情況，並向董事局轄下的審計委員會匯報，提升相關管治水平。

立法會議員兼立法會資訊科技及廣播事務委員會主席葛珮帆表示，接連有公營機構發生網絡安全事故，政府應加強檢視網絡安全措施，及審視各政府部門及本地關鍵基礎設施的網絡安全隱患。她建議有關部門及機構採納網絡防護紅隊演練（Red Team Exercise）措施，彌補傳統滲透測試不足。