立法會(huì)議員 葛珮?lè)?/strong>
政府部門(mén)及公營(yíng)機(jī)構(gòu)近年接二連三發(fā)生外洩市民個(gè)人資料事故���,引起公眾對(duì)私隱安全問(wèn)題的關(guān)注��。無(wú)論如何,這接連事件已充分反映涉事人員對(duì)網(wǎng)絡(luò)安全及保護(hù)個(gè)人私隱方面不夠重視和意識(shí)不足���。筆者認(rèn)為�����,時(shí)至今日�����,資訊系統(tǒng)已成為政府各個(gè)部門(mén)業(yè)務(wù)運(yùn)作的核心�����,部門(mén)管理層實(shí)在不能只把其資訊系統(tǒng)視作單純技術(shù)問(wèn)題����,只交給技術(shù)團(tuán)隊(duì)或服務(wù)承辦商處理,而應(yīng)該直接對(duì)其資訊系統(tǒng)加強(qiáng)監(jiān)督�。
繼公司註冊(cè)處及機(jī)電工程署後,消防處日前亦公布發(fā)生有外洩消防處屬員和市民個(gè)人資料風(fēng)險(xiǎn)的事故��。綜觀近年選舉事務(wù)處����、數(shù)碼港、消委會(huì)����、公司註冊(cè)處及機(jī)電工程署等先後發(fā)生的同類事件,出現(xiàn)市民個(gè)人資料外洩的原因主要是管理及人為因素��。據(jù)此�,本人提出以下四項(xiàng)建議:
一����,鑒於相關(guān)事件發(fā)生後��,各政府部門(mén)和公營(yíng)機(jī)構(gòu)多遲遲未有通報(bào)個(gè)人資料私隱專員公署�����、媒體及受害人�����,情況並不理想�����,同時(shí)���,亦反映各政府部門(mén)及公營(yíng)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)安全的重視程度及執(zhí)行力不足��,因此,當(dāng)局應(yīng)就事故進(jìn)行徹查並追究責(zé)任����。
二�����,現(xiàn)時(shí)政府各部門(mén)均設(shè)有部門(mén)資訊科技保安主任及資訊保安事故應(yīng)變小組�����,分別領(lǐng)導(dǎo)該部門(mén)的整體資訊保安管理�����,和處理日常所有事項(xiàng)���,以準(zhǔn)備、偵測(cè)和應(yīng)對(duì)所有資訊保安事件及事故����。當(dāng)局應(yīng)責(zé)成各政府部門(mén)首長(zhǎng)及資訊科技部門(mén)須對(duì)其電腦系統(tǒng)的保安工作問(wèn)責(zé),以保障系統(tǒng)網(wǎng)絡(luò)及資訊安全���,如發(fā)現(xiàn)有人為疏忽或違規(guī)����,相關(guān)人員須作紀(jì)律處分�����。
密切監(jiān)察網(wǎng)絡(luò)保安威脅
三,目前所有政府資訊科技項(xiàng)目在系統(tǒng)上線前�����,必須進(jìn)行「保安風(fēng)險(xiǎn)評(píng)估和審計(jì)」(SRAA)��,但SRAA並沒(méi)有評(píng)估系統(tǒng)是否向公眾披露過(guò)多和不必要的個(gè)人數(shù)據(jù)�����,因此����,政府有必要在所有資訊科技項(xiàng)目中引入「隱私數(shù)據(jù)評(píng)估和審計(jì)」,以確保系統(tǒng)不會(huì)向公眾披露過(guò)多和不必要的個(gè)人數(shù)據(jù)���。
四�,未來(lái)「數(shù)字政策辦公室」須密切監(jiān)察網(wǎng)絡(luò)攻擊的趨勢(shì)和保安威脅����,適時(shí)發(fā)出警報(bào)通知,並提高各政府部門(mén)網(wǎng)絡(luò)及資訊安全的即時(shí)應(yīng)變能力和防範(fàn)意識(shí)�����。
此外�����,單就機(jī)電工程署洩漏疫情時(shí)「圍封強(qiáng)檢」期間收集的17000名市民個(gè)人資料事故��,筆者強(qiáng)調(diào)����,政府部門(mén)不應(yīng)把個(gè)人私隱數(shù)據(jù)長(zhǎng)期儲(chǔ)存在雲(yún)端系統(tǒng),若因情況緊急���,亦應(yīng)把儲(chǔ)存時(shí)間盡量縮短����,涉事人員完成數(shù)據(jù)處理後���,應(yīng)盡快移除數(shù)據(jù)�。政府亦應(yīng)督促各部門(mén)安排指定人員定期監(jiān)測(cè)及監(jiān)管涉及個(gè)人私隱敏感數(shù)據(jù)的存儲(chǔ)�����,以定期刪除敏感個(gè)人數(shù)據(jù),並就數(shù)據(jù)安全進(jìn)行內(nèi)部演練�����,主動(dòng)識(shí)別和解決潛在風(fēng)險(xiǎn)或漏洞��,強(qiáng)化安全防護(hù)能力����。
頂圖圖源:中通社
