龍七公：網絡攻擊嚴重 提升電腦保安

上述外洩的個人資料若落入不法分子手中，可能被用於身份盜竊或金融欺詐，對個人造成經濟損失和心理壓力。其次，這樣的事件對慈善組織來說尤為致命，因它們依賴公眾的信任來獲得捐款和支持，一旦信任被破壞，將需要很長時間才能修復。

是次事故無疑嚴重，作為立法會資訊科技及廣播事務委員會主席，筆者高度關注事件。事實上，最近個人資料外洩事故頻繁，背後反映的是社會包括公私營機構，對保護個人資料安全的重視程度普遍不足，以及對電腦系統的保安意識及認知不足。現今數碼世代中，資訊和網絡安全是重中之重，不少黑客入侵事件都是由於員工點擊了含木馬程式或勒索軟件的「釣魚」電郵，因此針對員工防範意識的培訓、經常更新電腦保安系統包括防火牆，並定期進行系統性的風險評估和安全檢查，亦相當重要。

此外，香港現時的《個人資料私隱條例》比較落後，亦欠阻嚇力，變相公署淪為只提供專業建議，卻無力要求對方執行的「無牙老虎」。若將本港與中國內地、歐盟的幾部個人資料法律內容認真比較，更能發現香港《私隱條例》中不少規定，跟國際標準有着很大距離。事實上，現時香港法例並未有明確區分敏感與非敏感的個人資料，反觀中國內地就將生物識別、宗教信仰、特定身份、醫療健康、金融帳戶、行蹤軌迹等視作「敏感個人資訊」；歐盟則把跟個人種族、政見、宗教信仰、工會身份、基因、生物識別、性向相關的資料列為「特殊類別」，處理時均須符合更嚴格的條件。與此同時，中國內地、歐盟亦有規定強制要求發生資料外洩事故的處理者向監管部門通報，然而香港卻無相關規定。

雖然政府過去亦有就「打擊起底」而對《私隱條例》進行修訂，並於2021年10月生效，《修訂條例》賦予私隱專員公署新的刑事調查和檢控權，可「一站式」由刑事調查、搜集證據到提出檢控處理「起底」案件，經簡化的程序能有效加快。但《修訂條例》焦點只放在對付「起底」，未有針對前述的問題。就此，筆者建議政府為公私營機構及中小企業提供更多資訊及電腦網絡安全的支援及培訓，並盡快審視及擬定修例建議，包括設立強制性個人資料外洩通報機制、賦權個人資料私隱專員判處行政罰款等，繼續完善本港個人資料保障法制，這樣才能追上國家與國際的標準，進一步保障市民個人資料的安全。