【金怡假期.觀點】旅行社資料接連被盜 網上保安監管須加強
近日,接連有旅行社遭黑客入侵伺服器,盜取客戶資料並被勒索比特幣。旅行社存有大量市民的個人資料,明顯現時政府對於旅行社的網上保安監管嚴重不足,而更甚的是,旅行社和市民對於資料被竊欠缺危機意識,有市民擔心自己的行程受阻,或是優惠、積分等受影響,而忽視了資料被不法分子盜取的危機。
隨着智慧城市的發展,個人私隱資料的用途將更廣泛,外洩的風險將更高,要加強對各行各業的電子保安監管,政府責無旁貸,政府應從旅遊業的規管做起,同時提升市民保護個人資料的意識。
旅遊業議會作為現時監管旅行社的機構,卻同時是業界的代表,早年發生的強迫購物、導遊態度惡劣等事件,已反映其規管力度嚴重不足。對於旅行社的網上保安監管,現時更是沒有明確的指引或制度規範,只靠各旅行社自律加強保安,旅議會只鼓勵旅行社提高意識。
市民容易淡忘 旅行社抱僥倖
資訊科技界立法會議會莫乃光指,即使聘用專家做風險評估、升級保安系統可能只需數萬元,但市民對於傳媒報導資料外洩事件容易淡忘,令旅行社容易抱有僥倖心態,忽視其重要性。
對於持有大量敏感資料的各行各業,政府並非完全放任,金管局與證監會均設有電腦保安指引,而顯然對旅遊業的監管同樣須加強。立法會正處理《旅遊業條例草案》,擬定成立旅遊業監管局取代旅遊業議會,在發牌制度上政府可加入相關的條文,規管處理個人資料時的守則、設立罰款制度。莫乃光認為此做法可加強其阻嚇性,令旅行社務必要重視其網上保安系統。
現時各旅行社使用的網絡保安系統各異,其保護強度也各有不同,早前更有傳媒揭露有旅行社訂票網站甚至沒有基本的加密,黑客要取得個人資料可謂易如反掌。對於接連的資料被盜事件,旅遊業議會仍只發通告提醒旅行社提高警覺,及為旅行社舉辦相關講座,其補救及阻嚇作用遠不足夠,在發牌制度上的規管有明顯必要性。
政府早於1996年設立個人資料私隱專員公署保障個人私隱,公署卻沒有實質檢控權力規管公司、機構如何處理個人資料。即使獲通報資料外洩作循規審查,只要願意改善,公署也輕易放過處理不善的公司,形同無牙老虎,同時反映出公署規管落後。公署的角色早已為人詬病多時,社會一直急速轉變,加上現時科技應用的普及程度大大提升,除了在規管上如何加強力度,其推廣市民加強保護個人資料的意識的手法,也須重新檢視。