香港不安全

撰文:評論編輯室
出版:更新:

這一屆政府非常重視安全。《國安法》嚴厲執行,社會治安甚至網上輿論都在密切監控。然而,最近不少香港人還是感到不安全。

——說的是網絡(不)安全。

8月,數碼港遭黑客盜取逾400GB資料,大量職員和前員工的個人資料於暗網被公開,包括身份證號碼、履歷、薪金等。

9月,消委會的電腦系統遭攻擊,外洩的個人資料可能包括員工、前員工、求職者的身份證號碼、住址、出生日期和履歷,《選擇月刊》訂戶的信用卡號碼及到期日等。

不難想像,受影響人士自然會憂慮身份證號碼等個人資料會被利用,例如借貸。說是「受影響人士」其實也淡化了問題,無辜要面對風險和活在憂慮之中,說他們是「受害人」才是正確。

誰是加害者?

雖然數碼港表示會為「可能受影響人士」免費提供由專業保安顧問負責的身份監察服務,但有個人資料已被公開的前員工向《香港01》表示,質疑數碼港可以如何監察或者幫助受害人。而這名前員工已離職七年,亦令人疑惑為何數碼港會一直保存其個人資料多年。

至於消委會,雖然表示會盡快聯絡潛在受影響人士,但有曾經求職於消委會的市民批評其所提供的資訊跟網站所載的一般問答無異,例如建議考慮重設線上帳戶密碼、檢查是否有任何可疑活動、要求更換信用卡等,根本無法釋除身份證號碼、住址等個人資料被盜用的憂慮。

員工、前員工、求職者是受害人,黑客是加害人,那麼資料外洩的機構在性質上又是什麼?有些機構只保留求職者的個人資料12個月,有的卻保留24個月,是否有此需要?有些機構採用較高級別的網絡安全系統,有的卻未必如此,一旦被黑客攻擊,難道沒有責任?資料外洩後,機構除了通知受客人之外,是否應該有責任提供更有效的技術和法律支援?

在資訊保安和網絡安全方面,業界普遍視ISO/IEC 27001為基本標準,但截止去年香港獲得的認證僅243個,不但遠低於近7000個的日本、近1400個的台灣,亦比新加坡少一成半。而ISO/IEC 27001在去年已再更新至2022年版,香港多少機構、企業有提升保安水平,更是疑問。

法律要求落後形勢

在法律方面,香港目前倚靠《個人資料(私隱)條例》和《刑事罪行條例》第161條的「不誠實取用電腦」罪來保障個人資料和網絡安全。前者雖然在2021年經歷修訂,將「起底」行為列為刑事罪行,但大體而言仍然沒有對資料管有人施加嚴格的法律責任,資料外洩後連民事訴訟、索償都不容易。後者更加是不合時宜,針對的是不誠實使用別人的電腦而非網絡入侵本身,亦不適用於使用個人電腦的行為。

相比之下,內地已於前年實施《個人信息保護法》,強制個人信息處理者採取必要措施保障資料安全,保存期限應當為實現處理目的所必要的最短時間,違法者可構成刑事責任。英國2018年修訂的《數據保護法案》包括了多項刑事責任,歐盟繼《通用數據保障條例》後去年又再草擬了《網絡彈性法案》(Cyber Resilience Act),打算強制規範網絡安全系統的水平、風險管理的標準等。

上屆政府曾經提及,打算立法訂定關鍵基礎設施營運者的網絡安全責任,並於去年底就立法建議進行公眾諮詢。惟到了今年7月,創新科技及工業局局長孫東仍然只表示政府正草擬立法框架,稍後會再就初步立法建議諮詢公眾。

公共交通、電力、金融等關鍵基礎設施當然重要,但除此之外,大學、醫管局、積金局甚至是八達通公司等企業同樣擁有大量個人資料。在大數據年代,個人資料為不法分子所覬覦,機構和企業的保護力度必須達到更高水準,事後必須履行更大的支援責任。數碼港和消委會兩次黑客事件,已證明立法保護個人資料和網絡安全刻不容緩。

兩間機構的員工、前員工和求職者感到不安,朝夕擔心被盜用個人身份,而再有機構被黑客入侵、資料外洩的事件亦非不可能。換言之,下一個可能受害的是香港每一個人。