誰要問責?

撰文:評論編輯室
出版:更新:

公司註冊處和機電工程署先後確認他們保存的個人資料在網上有外洩風險,被立法會議員、資訊科技及廣播事務委員會主席葛珮帆狠批不能接受。但她還是太過厚道,只說如果再發生類似事件,要有人問責或接受紀律處分。

去年8月、9月,數碼港和消費者委員會已先後遭黑客入侵,前者超過13,000名資料當事人的個人資料外洩,後者涉及超過450名人士的個人資料。政府部門稍有危機意識,應該已全面檢視網絡安全及資料保障系統。誰不知公司註冊處到今年4月,才發現電子查冊系統在開發者工具或者編寫程式下會披露額外的個人資料。兩個方法都不算很精密複雜,正如處方所說,簡單到按下F12鍵便能啟用,保安程度之低可想而知。

低處未見低。機電署前年3月至7月疫情期間,為執行「圍封強檢」行動而收集的資料,包括14幢大廈內約1.7萬名市民的姓名、聯絡電話、身份證號碼及住址等,竟然還在網上平台,更加可以在無需輸入密碼的情況下瀏覽。不但無法理解為什麼兩年前的資料仍原封不動保留至今,而且署方在市民報告後才後知後覺,風險漏洞令人咋舌。

兩宗事件均涉及市民的姓名、身份證號碼、住址、電話等,一旦被惡意利用,後果可以很嚴重。不管是否承辦商出錯,政府部門作為委託人,也是市民交出資料的受託人,絕對責無旁貸。葛珮帆促請公務員事務局責成部門首長做好網絡安全,但事實上政府各部門已設有資訊科技保安主任,領導該部門的整體資訊保安管理。資訊保安並非新事物,怎能等待再發生類似事件?現在就應該問責。

許多政府部門都設有保障資料主任以及保障個人資料(私隱)主任,發生這類疏忽事件,他們須否負責?如果沒有問責制度,公務員事務局局長難辭其咎?如果是在技術層面構成資訊保安不足,問題就在資訊科技總監辦公室。這個由D6級高官領導、編制750人、每年花費20億元的部門,不可能只是制訂了《政府資訊科技保安政策及指引》就當了事。康體通不通,監考易很難,區議會選舉電子名冊不電子,還要再鬧出多少笑話,創新及科技局才會要求資科辦問責?

私隱專員公署私已即時對公司註冊處事件展開調查,但結果又可以怎樣?根據他們近日完成的數碼港和消委會資料外洩調查,兩個機構的資訊保安政策同欠具體,違反了保障資料第4(1)原則有關個人資料保安,數碼港又另外違反了第2(2)原則有關個人資料保留的規定。不過根據《個人資料(私隱)條例》,私隱專員僅指示了兩個機構指示糾正問題,以及防止類似違規情況再次發生,基本上等如沒有罰則可言。除非違規機構不執行指示,或者有受害人循民事訴訟索償,但大家都知道兩個情況都不大可能發生。

六年前國泰外洩940萬顧客資料,最終還不只是收到糾正通知,然後就再沒然後?社會——包括我們在內——批評了目前資料保障制度不足已久,政制及內地事務局做了什麼?2021年局長曾國衛說,「政府早前已就《私隱條例》的修訂方向徵詢立法會政制事務委員會的意見。我們會聯同公署詳細研究並敲定具體的修例建議,適時諮詢立法會的意見。」2022年曾局長說,「特區政府早前已就《個人資料(私隱)條例》的其他修訂方向徵詢本委員會的意見。我們會聯同私隱公署詳細研究並敲定具體的修例建議,並適時諮詢委員會的意見。」2023年他說,「我們正與私隱公署研究進一步修訂《私隱條例》,以加強個人資料的保障,應對網絡科技的新挑戰。在參考其他司法管轄區的相關私隱法例和香港的實際情況後,我們會聯同私隱公署制訂具體修例建議並徵詢委員會的意見。」

既是如此,再沒有下次事件才怪,市民只能自求多福。與其說「如果再發生類似事件」,不如現在就正面問題核心:誰要問責?