私隱專員專訪｜首7月119宗外洩通報　鍾麗玲：公私營均責無旁貸

近年本港私營及公營機構接連出現資料外洩事故，私隱專員公署今年首7個月，接獲119宗外洩通報，較去年同期上升78%。

市民關注政府部門及公營機構把關不力，私隱專員鍾麗玲接受《香港01》專訪時指出，外洩事故公私營比例為3:7；不過市民對政府抱有期望，注意力會更高，但不論公私營機構，作為資料使用者就有責任保障所持有的個人資料，「呢個責任我會講係責無旁貸。」

鍾麗玲指不論公私營機構，都有責任保障所持有的個人資料，「這個責任我會說是責無旁貸的。」（夏家朗攝）

私隱專員鍾麗玲受訪時表示，資料外洩事故是全球現象，「科技發展步伐是相當之快，而數碼化亦係一個不可抵擋嘅潮流，所以一定會愈來愈多。」

私隱專員公署在過去5年，平均每年收到過百宗機構資料外洩通報，受影響人數達60至100萬。外洩個案近年有明顯上升趨勢，由2022年105宗，升至2023年157宗，升幅達五成；而今年首7個月，就已接獲119宗，較去年同期上升78%。

▼2023年9月22日　消委會交代電腦系統被黑客入侵及勒索事件▼

過去一年，不少政府部門及公營機構頻頻出現資料外洩事故，數碼港遭黑客「撕票」洩1.3萬人資料，消委會外洩450名訂戶資料，機電署洩1.7萬名「圍封強檢」市民資料，消防處有5,000人資料存外洩風險等等。

鍾麗玲指出，近年公私營外洩通報個案比例是3:7，即私營企業事故佔多，但市民對公營機構其實有一定期望，「公營機構透明度高啲，大家的注意力就大。」

她強調說：「不論係公私型機構都可以做多一啲，提升佢哋嘅數據安全」，作為資料使用者，在私隱條例下有責任保障所持有的個人資料，尤其第4項原則要求「採取所有切實可行的步驟」，「呢個責任我會話係責無旁貸。」

▼2023年9月14日　數碼港交代遭黑客入侵善後工作▼

有市民通報指，機電署在新冠疫情期間的「圍封強檢」行動所收集、涉及14幢大廈、約1.7萬名市民的姓名、聯絡電話、身份證號碼及住址等資料，近日可在網上伺服器平台瀏覽。(廖雁雄攝)

外界關注，過往有機構在出事後以「受害者」自居，鍾麗玲不以為然，「機構不要只係話『我都是一個受害者』，我指理解機構係受害者，但自己都要做好防禦，因為你持有嘅個人資料可以係好多，市民對機構亦有一個合理期望，唔可以話我係受害者，我咩都唔使做，反而因為正正你持有咁多人個人資料，你應該係更加做好。」

私隱署近年發出多項資訊及通訊科技的保安措施指引，鍾麗玲建議機構及公司培訓員工，建立一個人力的防火牆，亦不要為省錢不購設防火牆，包括防毒及防惡意軟件。

鍾麗玲認為機構自己要做好防禦，「不可以說我是受害者，我甚麼都不用做。」（夏家朗攝）

私隱署正與政府研究修訂《私隱條例》，加強管規資料擁有者及處理者。鍾麗玲表示，「今次修例唔應該再係小修小補，整條條例都應審視」，因應外洩事故有上升趨勢，正考慮將資料外洩通報變為強制性，並加大執法力度，「依家係一個自願性質，我覺得是不理想的。」

罰則方面，鍾麗玲表示，會審視所有罰則，以加大阻嚇性，並參考其他司法管轄區做法，增加行政罰則，「28年來都未增加過罰則，譬如說錢方面會增加，刑罰方面都會增加。另外如果有強制性通報資料外洩，我們亦都考慮一個行政罰款機制，可否立即罰款。」

鍾麗玲又指，現時不少外洩個案未必是使用資料的機構犯錯，而是外判予第三方處理，處理者導致資料外洩，惟目前條例未有涵蓋，因此考慮正接規管第三方資料處理者。

私隱條例自1996年實施，曾有兩次修訂，鍾表示今次修例「不應該再是小修小補，整條條例都應審視。」（夏家朗攝）