採取措施防私隱外洩事故重演

2019-04-15

錢偉倫國際私隱專業人士協會認可信息私隱專家（歐洲）

選舉事務處最近被傳媒揭發，遺失載有8,000名選民資料的選民登記冊。被傳媒揭發後，事隔兩年半，處方才知會政制及內地事務局及報警處理。政制及內地事務局局長聶德權表示高度關注，對事件被隱瞞兩年多表示不能接受，已責成選舉事務處核查事件及提交報告，並指示處方向私隱專員公署備案。

其實，類似事件早有前科，選舉事務處於2017年3月特首選舉期間，遺失載有1,200名特首選委及全港378萬名選民個人資料的手提電腦，至今仍未破案。

根據香港現行《個人資料（私隱）條例》下的保障資料第4（1）項（資料保安）規定，資料使用者（例如選舉事務處）應採取切實可行的保安措施，確保其持有的個人資料不會因意外或未獲准許下被查閱、處理、刪除、喪失或使用。選民資料涉及敏感的個人私隱，處方應採用「需要知道」和「需要使用」的原則，只備存必須查閱或使用的個人資料，尢其當涉及使用流動儲存裝置時，例如手提電腦。

處方亦應採用最小權限的存取原則，例如，只有獲授權的職員，才可存取、查閱有關個人資料；嚴格評估下載或複製選民個人資料的必要性，並訂立審批程序及準則；監察載有選民個人資料的系統，有否被未獲授權的下載或複製，若發現不尋常情況，例如大量下載或刪改的，應立即匯報並追溯檢討。使用便攜式儲存裝置儲存選民資料前，應先進行風險評估。經評估後，若有此必要，必須將資料加密，並因應採取更多有效的保安措施，例如採取雙重認證方式來查閱資料等。

處方應小心保管儲存資料的文件或裝置，確保存放文件或裝置的地方有足夠的保安措施。

處方必須有系統地制定、檢視及更新現有的個人資料保安政策、程序及指引，將保安政策程序及實務指引傳達給所有職員，並提供必要培訓。

處方亦應制定審核機制，確保個人資料的保安政策、程序及指引獲得遵從。

發生資料外洩事故的處理及通報機制，現行的《個人資料（私隱）條例》沒有特別規定，屬自願性質。因此，儘管政府部門或私人機構拖延公佈洩露事件，不符公眾期望，但就不用負任何責任。

國泰航空曾被揭發，大約940萬名乘客的資料被不當取覽，但拖延超過半年時間才對外公佈。私隱專員知悉事件後，即時要求國泰航空採取補救措施，但亦認為，雖然國泰在道德上應第一時間通報事件，但延遲7個月才公佈，亦難以指責國泰違規。

歐盟現行的《通用數據保障條例》規定，機構或企業應在發生資料外洩事件後72小時內通報監管機構，通報內容包括事故的性質及可能的後果；洩露資料的類別及數量；已採取或擬採取的補救措施。如有關事故可能對受影響人士的權益造成嚴重損失，需通知受影響人士。

隨着公眾對個人私隱日益重視，且資料外洩事件屢見不鮮，香港私隱專員公署應參考歐盟的《通用數據保障條例》，檢討香港現行的私隱條例。

政府、企業制定及採取良好的處理資料外洩事故措施，有助減少事故發生，顯示負責任的態度，挽回公眾對本港私隱保障的信心。

讀文匯報PDF版面

新聞排行

圖集

視頻