要聞港聞

龍七公:多管齊下加強網絡資訊安全

現時香港的網絡及資訊安全程度和意識仍極為不足,本港公私營機構近年不時爆出網絡安全事故,或導致部分市民資料外洩,甚至令不法之徒有機可乘,設下騙局,導致資料持有人蒙受經濟損失。筆者認為,香港現行法例並沒有確立機構或公司的網絡保安責任,資料外洩的當事人只能透過民事訴訟向機構追討責任,但取證往往較困難,加上現行相關法例阻嚇性不足,難以保障市民的個人資料安全。
日前六福珠寶會員資料庫疑遭黑客入侵,並在暗網放售。據稱,案中涉及500萬本港及內地會員的姓名、出生日期、住址、身份證號碼、帳戶密碼、手機號碼等個人資料。另一宗的港專資料外洩事故,公署日前接獲校方最新呈報,受影響人數已增至8,100人。校方對此深表歉意,將為受影響人士提供為期半年的免費「信貸監察服務」及「暗網監控服務」,以加強保護個人資料。
資料外洩事故一般指資料使用者持有的個人資料懷疑外洩,甚至有被未獲准許的查閱、處理或使用的風險。近年各地執法部門和相關機構,也加強對個人資料保護和跨境資料轉移進行監管,如歐盟於2018年頒布《通用數據保障條例》(GDPR)、美國部分地區同年簽署《加州消費者私隱法》(CCPA),以及中國2021年頒布《個人信息保護法》。為應對資料外洩上升趨勢,GDPR和某些國家的法例載有嚴格的資料外洩事件通知規定,強制機構必須向監管機構和相關個別人士通報資料外洩事件。
強制通報 建立罰則
事實上,香港現行的個人資料外洩通報機制是自願性而非強制,不排除有機構或擔心損害聲譽,傾向不公布事故。值得一提的是,今次港專個案就是自案發後近3個月才公布資料外洩。另外,現行法例下機構或企業一旦導致資料外洩,只要依私隱專員公署要求進行修正或改善,就毋須負刑責,明顯阻嚇力不足。就此,筆者認為應針對資料外洩建立罰則,引入責任制,加強保障受害者。特區政府應盡快修訂《個人資料(私隱)條例》,引入強制性資料外洩通報,加重罰則,以及加入行政罰款機制,如政府部門或公營機構出現個人資料外洩,有關部門或機構的首長及資訊科技項目主管必須問責。
此外,各界亦需提升網絡及資訊安全意識。特區政府應在所有資訊科技項目中引入「隱私數據評估和審計」,以及未來「數字政策辦公室」須密切監察網絡攻擊的趨勢和保安威脅,適時發出警報通知,並提高各政府部門相關的即時應變能力和防範意識;私人機構應評估所收集的個人資料是否必要,避免收集過多資料,及時刪除不必要的個人資料;政府亦需加強教育,提醒市民謹慎提供個人資料,並了解機構保留其資料的期限和相關安全措施,多管齊下,更全面保障網絡及資訊安全。
第一手消息請下載on.cc東網 iPhone/ iPad/ Android/
人人做記者
爆料方法 :
爆料熱線:
(852) 3600 3600
傳 真:
(852) 3600 8800
SMS:
(852) 6500 6500
人人做記者