簡體版 英文版 寄給朋友 政府新聞網
立法會一題:資訊保安規例及政策
***************

  以下為今日(五月二十八日)在立法會會議上曾鈺成議員的提問和商務及經濟發展局局長馬時亨的答覆:

問題:

  就政府部門和公營機構洩漏市民個人資料的事件,政府可否告知本會:

(一)過去三年,有關的個案總數,以及這些個案涉及多少名市民的資料;當中有多少宗個案已由有關當局把資料外洩事件通知警方、個人資料私隱專員公署,以及受影響的市民;

(二)各政府部門和公營機構有沒有向員工發出指引,訂明透過電腦及其配件(例如USB記憶體和讀卡器等)閱覽、下載、複製和傳送市民的個人資料的限制、保安標準,以及遺失資料時的通報程序等事宜;如果有發出指引,內容是甚麼;如果沒有,會不會發出有關的指引;及

(三)各政府部門和公營機構有沒有計劃檢討現行的資訊保安制度和系統,以及加強員工的資訊保安意識;如果有計劃,詳情是甚麼;如果沒有,理由是甚麼?

答覆:

主席女士:

  現就曾鈺成議員的提問答覆如下:

(一)過去三年截至二○○八年五月二十二日為止,政府共接獲14宗涉及政府部門洩漏個人資料的報告,這些個案合共涉及約1,900名市民的個人資料。同期內公營機構有16宗個案,涉及的市民大約有44,000名。現時《個人資料(私隱)條例》並沒有規定,資料使用者在發生個人資料外洩事故後,需要通知個人資料私隱專員。不過,政府內部有制定指引,所有政策局及部門必須向成員包括政府資訊科技總監辦公室、保安局及警方的政府中央事故應變辦事處,匯報此類事故。

  上述30宗個案,其中7宗個案的政府部門或公營機構有將洩漏資料的事故通知警方、私隱專員及受影響市民。至於其餘的23宗,有關的政府部門和公營機構則視乎個別個案的情況(包括事件是否涉及失竊/刑事罪行、當事人的聯絡資料不詳等),適當地通知警方、私隱專員或受影響市民。

(二)政府訂立了一套全面的資訊保安規例及政策,並已向各政策局及部門發布。這些規例、政策及相關程序和指引參照國際公認的最佳做法制訂,而且不時檢討,以反映科技及保安威脅的轉變。當中涵蓋的課題包括:資訊系統及資料的存取控制、辦公室保安、軟件資產管理,以及使用非政府供應的軟件的授權規定。各政策局及部門亦須定期提醒員工(包括合約人員)遵行資訊保安規定,並在有需要時給予培訓。

  公共機構方面,各政策局及部門與轄下公共機構訂定規管或行政安排時,會參考有關的政府保安規例及政策。各政策局及部門通常會建議公共機構在制訂本身的資訊保安政策、計劃方案和實施安排時,採取或參考政府的資訊保安政策、指引和技術資料。

  如發生資訊保安事故,有關的政策局及部門須即時展開初步調查,如事故涉及個人或受限制資料,或者影響公共服務或政府,則須向中央事故應變辦事處匯報。

  上述中央事故應變匯報機制不涵蓋公共機構。以我所知,公共機構會按各自有關法例或規例的規定,就事件作出匯報。視乎個別情況,他們可考慮向公眾公布有關事件。

(三)雖然這些事故部分仍在調查中,但初步結果顯示,大部分事故是由於對現有的資訊保安規例、政策和指引缺乏認識及警覺所致,特別是使用抽取式電子設備和共用檔案軟件方面。我們已即時對所有政府員工發布了兩個內部文件,提醒他們關於保護政府資訊系統和機密/個人資料的責任與常設指南。為進一步提高員工的資訊保安意識及協助他們遵行有關規定,政府資訊科技總監辦公室與保安局在公務員事務局的協助下,現正與部門資訊科技保安主任緊密合作制訂一項溝通計劃,目的向所有員工清楚表達政府對資訊保安及數據保密要求的重視,並建立及維持高度的認知,加強員工的警惕性和承擔。在推行這些項目當中,如何在辦公室之外或在家處理公務文件將是一個特別焦點。

  此外,政府已設立機制,檢討內部資訊保安管理架構及措施,以便各政策局及部門遵行。在這方面,政府資訊科技總監辦公室及保安局擔當主導角色,但有需要時,其他行政、公務員培訓及執法機構亦會參與。針對近期發生的事件,政府會在未來三至四個月檢討資訊保安政策、指引和改善措施。

  各政策局及部門亦應向轄下公共機構反映政府的最新發展,以供他們採用和參考。



2008年5月28日(星期三)
香港時間12時37分

列印此頁