私隱專員專訪|首7月119宗外洩通報 鍾麗玲:公私營均責無旁貸
近年本港私營及公營機構接連出現資料外洩事故,私隱專員公署今年首7個月,接獲119宗外洩通報,較去年同期上升78%。
市民關注政府部門及公營機構把關不力,私隱專員鍾麗玲接受《香港01》專訪時指出,外洩事故公私營比例為3:7;不過市民對政府抱有期望,注意力會更高,但不論公私營機構,作為資料使用者就有責任保障所持有的個人資料,「呢個責任我會講係責無旁貸。」
私隱專員鍾麗玲受訪時表示,資料外洩事故是全球現象,「科技發展步伐是相當之快,而數碼化亦係一個不可抵擋嘅潮流,所以一定會愈來愈多。」
首7個月外洩通報較去年同期升近八成
私隱專員公署在過去5年,平均每年收到過百宗機構資料外洩通報,受影響人數達60至100萬。外洩個案近年有明顯上升趨勢,由2022年105宗,升至2023年157宗,升幅達五成;而今年首7個月,就已接獲119宗,較去年同期上升78%。
▼2023年9月22日 消委會交代電腦系統被黑客入侵及勒索事件▼
公私營外洩個案比例3:7 鍾麗玲:市民對政府有期望
過去一年,不少政府部門及公營機構頻頻出現資料外洩事故,數碼港遭黑客「撕票」洩1.3萬人資料,消委會外洩450名訂戶資料,機電署洩1.7萬名「圍封強檢」市民資料,消防處有5,000人資料存外洩風險等等。
鍾麗玲指出,近年公私營外洩通報個案比例是3:7,即私營企業事故佔多,但市民對公營機構其實有一定期望,「公營機構透明度高啲,大家的注意力就大。」
她強調說:「不論係公私型機構都可以做多一啲,提升佢哋嘅數據安全」,作為資料使用者,在私隱條例下有責任保障所持有的個人資料,尤其第4項原則要求「採取所有切實可行的步驟」,「呢個責任我會話係責無旁貸。」
▼2023年9月14日 數碼港交代遭黑客入侵善後工作▼
指機構不要只說自己也是受害者:都要做好防禦
外界關注,過往有機構在出事後以「受害者」自居,鍾麗玲不以為然,「機構不要只係話『我都是一個受害者』,我指理解機構係受害者,但自己都要做好防禦,因為你持有嘅個人資料可以係好多,市民對機構亦有一個合理期望,唔可以話我係受害者,我咩都唔使做,反而因為正正你持有咁多人個人資料,你應該係更加做好。」
私隱署近年發出多項資訊及通訊科技的保安措施指引,鍾麗玲建議機構及公司培訓員工,建立一個人力的防火牆,亦不要為省錢不購設防火牆,包括防毒及防惡意軟件。
研強制通報引行政罰款 規管第三方資料處理者
私隱署正與政府研究修訂《私隱條例》,加強管規資料擁有者及處理者。鍾麗玲表示,「今次修例唔應該再係小修小補,整條條例都應審視」,因應外洩事故有上升趨勢,正考慮將資料外洩通報變為強制性,並加大執法力度,「依家係一個自願性質,我覺得是不理想的。」
罰則方面,鍾麗玲表示,會審視所有罰則,以加大阻嚇性,並參考其他司法管轄區做法,增加行政罰則,「28年來都未增加過罰則,譬如說錢方面會增加,刑罰方面都會增加。另外如果有強制性通報資料外洩,我們亦都考慮一個行政罰款機制,可否立即罰款。」
鍾麗玲又指,現時不少外洩個案未必是使用資料的機構犯錯,而是外判予第三方處理,處理者導致資料外洩,惟目前條例未有涵蓋,因此考慮正接規管第三方資料處理者。