300萬選民資料隨電腦失竊 專家︰黑客一旦攻破可製假證犯案
選舉事務處昨(27日)稱在亞洲博覽館內遺失兩部手提電腦,載有1200名特首選委及全港300萬登記選民的個人資料,並已向警方報案,事件令人質疑選舉事務處疏忽,以及爆發嚴重私隱外洩。有資訊保安專家認為,假設電腦是上鎖情況,符合保安要求的加密強度一般甚高,難以攻破,惟一旦電腦所用的硬件及軟件並非最新版本,或有漏洞被入侵。有法律界人士則表示,私隱條例的刑事責任在於盜用或竊取資料的第三方身上,政府雖有法律責任保障資料妥善保管,惟「疏忽」並無刑事責任。
選舉事務處昨晚發聲明指,沒有資料顯示選民資料有外洩情況,又指職員均嚴格遵從政府和相關機構就處理重要個人資料保安的法例、守則和加密要求,並已向個人資料私隱專員公署通報事件。
黑客盜個人資料可製假證件
香港互聯網協會網絡保安及私隱小組召集人楊和生表示,假設電腦是上鎖狀況,一般而言,符合保安要求的正常加密強度甚高,不易攻破,惟他指加密手法涉硬件及軟件,一旦電腦採用的硬件或軟件並非最新版本,不排除存在保安漏洞,不法份子實有機會從漏洞中攻破電腦,盜取資料。楊和生指,一旦選民的個人資料外洩被黑客得到,有機會被偽造身份,以開啟更多新帳戶,甚至製造假證件犯案。
市民可即查閱登記資料有無被改
至於選舉事務處的責任問題,法政匯思召集人蔡騏解釋,根據《個人資料(私隱)條例》規定,資料使用者、即政府及選舉事務處,有責任保障選民資料不會未經授權下,或意外地被查閱、處理、刪除、喪失或使用。個人資料私隱專員公署有權就事件立案調查,並要求政府採取補救措施。
他建議,市民可立即瀏覽選舉事務處的網頁,查閱自己的登記資料有否被改動,目前仍未有證據顯示選民資料被外洩,提索償仍言之尚早。另外,《私隱條例》的刑事責任在於盜用或竊取資料的第三方身上,非在資料管理者身上,政府雖然有法律責任保障資料妥善保管,惟疏忽情況未導致需付上刑事責任。
蔡騏指,在一般情況下,若有人未經資料使用者同意,而取得或披露個人資料,使當事人有損失,包括金錢、財產或蒙受心理傷害,都即屬犯罪。據《個人資料(私隱)條例》第64條,一經定罪,可處罰款100萬元及監禁5年。