龍七公：市民資料外洩 部門責不可卸

當局表示，政府人員需嚴格遵守其他適用的法規，並為加強各局資訊部門對科技項目的主要監督角色，資訊科技辦公室正研究要求高級人員直接進行風險評估，加強風險評測、抽查及進行審計，並盡快推行政策。然而，卻未有明確回應新措施推出後，再有人為資訊外洩事故發生，會否有人員問責。

事實上，接連發生外洩個人資料，很大程度反映涉事人員對網絡安全及保護個人私隱不夠重視和意識不足。雖然資訊科技辦公室一直有指引要求各部門保護市民私隱，但要求資科辦監察70多個政府部門，數以百計的政府系統，權責關係上並不切實可行，政府應責成各部門和公營機構的首長及相關系統負責人，必須做足系統保安措施及個人資料私隱的保障，若有疏忽或違規，須問責及作紀律處分。

繼香港兩家公營機構遭電腦黑客入侵，導致1.6萬名市民的個人資料有外洩之虞後，再發生一星期接連有3個政府部門的電腦系統發生有資料外洩風險事故，涉及逾13.3萬人。涉及最多市民個人資料外洩風險的，是擁有全港超過150萬間公司董事個人資料的公司註冊處，受影響人數約11萬，包括個人姓名、護照及身份證號碼等敏感資料，均面臨遭洩露的風險。有專家指出，上述事件的發生屬低級錯誤，公司註冊處的事故更是在新系統推出幾個月後在自行檢查中發現漏洞，實在讓人匪夷所思。

值得一提的是，如歐盟的《通用數據保障條例》及內地的《個人信息保護法》等數據安全法例，均清晰規範資訊的取得、保存及銷毀等，並嚴格規定不可延誤通報外洩事故。相比之下，本港的《個人資料（私隱）條例》已是大落後，政府應盡快完成修例工作。

就上述資料外洩事故，當局除了必須進行徹查並追究責任，筆者所屬政黨亦建議政府在所有資訊科技項目中引入「隱私數據評估和審計」，以確保系統不會向公眾披露過多和不必要的個人數據。而未來「數字政策辦公室」亦須密切監察網絡攻擊的趨勢和保安威脅，適時發出警報通知，並提高各部門網絡及資訊安全的即時應變能力和防範意識。

資料外洩事故發生，不單止損害公眾對政府部門能保護其個人資料的信任，也為社會以至國家安全響起警號，政府必須嚴肅正視。期望政府能亡羊補牢，研究採納上述建議，硬性規定政府各部門、公營機構跟足相關條例，在處理數據上嚴格執行相關規定和建議，才可防患於未然，保障市民私隱。