logo 首頁 > 文匯報 > 文匯論壇 > 正文

採取措施防私隱外洩事故重演

2019-04-15

錢偉倫 國際私隱專業人士協會認可信息私隱專家(歐洲)

選舉事務處最近被傳媒揭發,遺失載有8,000名選民資料的選民登記冊。被傳媒揭發後,事隔兩年半,處方才知會政制及內地事務局及報警處理。政制及內地事務局局長聶德權表示高度關注,對事件被隱瞞兩年多表示不能接受,已責成選舉事務處核查事件及提交報告,並指示處方向私隱專員公署備案。

其實,類似事件早有前科,選舉事務處於2017年3月特首選舉期間,遺失載有1,200名特首選委及全港378萬名選民個人資料的手提電腦,至今仍未破案。

根據香港現行《個人資料(私隱)條例》下的保障資料第4(1)項(資料保安)規定,資料使用者(例如選舉事務處)應採取切實可行的保安措施,確保其持有的個人資料不會因意外或未獲准許下被查閱、處理、刪除、喪失或使用。選民資料涉及敏感的個人私隱,處方應採用「需要知道」和「需要使用」的原則,只備存必須查閱或使用的個人資料,尢其當涉及使用流動儲存裝置時,例如手提電腦。

處方亦應採用最小權限的存取原則,例如,只有獲授權的職員,才可存取、查閱有關個人資料;嚴格評估下載或複製選民個人資料的必要性,並訂立審批程序及準則;監察載有選民個人資料的系統,有否被未獲授權的下載或複製,若發現不尋常情況,例如大量下載或刪改的,應立即匯報並追溯檢討。使用便攜式儲存裝置儲存選民資料前,應先進行風險評估。經評估後,若有此必要,必須將資料加密,並因應採取更多有效的保安措施,例如採取雙重認證方式來查閱資料等。

處方應小心保管儲存資料的文件或裝置,確保存放文件或裝置的地方有足夠的保安措施。

處方必須有系統地制定、檢視及更新現有的個人資料保安政策、程序及指引,將保安政策程序及實務指引傳達給所有職員,並提供必要培訓。

處方亦應制定審核機制,確保個人資料的保安政策、程序及指引獲得遵從。

發生資料外洩事故的處理及通報機制,現行的《個人資料(私隱)條例》沒有特別規定,屬自願性質。因此,儘管政府部門或私人機構拖延公佈洩露事件,不符公眾期望,但就不用負任何責任。

國泰航空曾被揭發,大約940萬名乘客的資料被不當取覽,但拖延超過半年時間才對外公佈。私隱專員知悉事件後,即時要求國泰航空採取補救措施,但亦認為,雖然國泰在道德上應第一時間通報事件,但延遲7個月才公佈,亦難以指責國泰違規。

歐盟現行的《通用數據保障條例》規定,機構或企業應在發生資料外洩事件後72小時內通報監管機構,通報內容包括事故的性質及可能的後果;洩露資料的類別及數量;已採取或擬採取的補救措施。如有關事故可能對受影響人士的權益造成嚴重損失,需通知受影響人士。

隨茪蔡章麰茪H私隱日益重視,且資料外洩事件屢見不鮮,香港私隱專員公署應參考歐盟的《通用數據保障條例》,檢討香港現行的私隱條例。

政府、企業制定及採取良好的處理資料外洩事故措施,有助減少事故發生,顯示負責任的態度,挽回公眾對本港私隱保障的信心。

讀文匯報PDF版面

新聞排行
圖集
視頻