立法會二題:加強資訊保安及對個人資料私隱的保障
***********************

  以下是今日(十一月十四日)立法會會議上莫乃光議員的提問和政制及內地事務局局長聶德權的答覆:
 
問題:

  近年,政府部門和私人機構外泄大量個人資料的事故頻生。有航空公司在得悉約940萬名乘客的資料外泄半年後才於上月作出公布。此外,「轉數快」快速支付系統推出不足一個月,即發生多宗騙案。騙徒利用市民的個人資料和供電子錢包用戶設立直接扣帳授權服務的流程的漏洞犯案,令市民招致財務損失。關於加強資訊保安及對個人資料私隱的保障,政府可否告知本會:

(一)會否參考歐盟《通用數據保障條例》,研究在《個人資料(私隱)條例》中訂明資料處理者的責任,以及當發生資料外泄事故時,資料使用者須於指定時限內向個人資料私隱專員公署通報並通知資料當事人;及

(二)會否全面評估現時政府部門、金融和電訊等行業,以及公用事業機構面對的資訊保安風險、制訂跨行業的資訊保安策略,以及加強培訓資訊保安人才(例如成立專門學院)?

答覆:

主席:

  就莫乃光議員有關加強保障個人資料私隱及提升應對資訊保安風險的提問,經諮詢創新及科技局和保安局後,就問題的各部分回覆如下。

(一)《個人資料(私隱)條例》(《私隱條例》)於一九九五年制定,並於一九九六年正式實施。政府在二○○九至二○一○年曾就《私隱條例》及相關的立法修訂建議進行公眾諮詢,其後於二○一一年向立法會提交的《個人資料(私隱)(修訂)條例草案》於二○一二年六月獲立法會通過。

  當年就《私隱條例》進行諮詢時,個人資料外洩通報機制是其中一個諮詢課題,當時的主要考慮是應否訂立通報機制,要求相關機構在個人資料外洩時通知個人資料私隱專員公署(公署)及受外洩事故影響的人士,讓他們採取措施減低因個人資料外洩所引致的風險,以及通報機制應為自願抑或強制性。當時接獲的公眾意見約半數支持自願性的通報機制,約四分之一支持強制性的通報機制。支持自願性機制的回應者認為強制性機制會對資料使用者造成沉重負擔。考慮到實施強制性的通報機制可能造成的影響,政府當時決定先推行自願性通報機制。為協助資料使用者作出資料外洩通報,公署於二○一○年六月發出資料外洩事故的處理及通報指引,並在二○一五年十月就指引作出修訂。公署所發出的指引就處理資料外洩的相關步驟向資料使用者提供指導和協助,並附有資料外洩通報表格,以方便資料使用者作出通報。

  政府和公署留意到因應近年科技的發展和廣泛應用,個人資料的處理趨向大量化及數據化,個人資料外洩事件所涉及的資料數量較以往增加,對資料使用者和擁有者構成的風險亦相應增加。有意見認為,今次國泰航空事件反映《私隱條例》存在修訂和改善的空間。就此,政制及內地事務局將密切注視公署就今次事件的調查結果和建議;與此同時,我們亦已主動聯同公署檢視《私隱條例》的相關規定和罰則。我們留意到有意見認為應要求資料使用者適時通報資料外洩事件,但同時注意到部分人士對於如何定義「資料外洩」和企業合規能力和營運成本的關注。我們會小心研究如何加強規管資料保護和通報安排。
                                
(二)為保障政府的資訊系統及數據資產,政府資訊科技總監辦公室(資科辦)參照國際標準制訂了一套全面的《政府資訊科技保安政策及指引》(《政策及指引》),涵蓋多個範疇,包括:資訊保安的管理架構及人力資源的保安要求、資訊系統及數據資產的保護和加密要求、接達及存取控制、網絡及外判服務的保安,以及事故應變和復原等。資科辦會定期進行審計以確保各部門嚴格遵行《政策及指引》,並會不時檢討和更新《政策及指引》,以應對不斷變化的網絡威脅。

  各重要行業、機構及非政府擁有的基礎設施,則由相關規管機構釐定規管措施。由於各個行業有其獨特的業務性質,他們所制訂的資訊保安策略,以及事故應變和業務運作復原的安排亦會有所不同。各界可參考資科辦網站內的《政策及指引》,制訂切合其需要的資訊保安政策和措施。在有需要時,資科辦亦會與相關規管機構交流並提出建議。

  此外,資科辦、香港警務處的網絡安全及科技罪案調查科(網罪科)及香港電腦保安事故協調中心(事故協調中心)緊密合作,為不同持份者包括政府部門、重要行業及機構以至市民大眾提供網絡安全相關的資訊及支援,並就重要事故發放資訊及建議預防和補救措施。為預防及打擊科技罪案,網罪科一直致力協助重要基礎設施營運者提升網絡安全意識及處理網絡事故的能力,並適時進行網絡威脅的審計及分析,以防止及偵查針對重要基礎設施的網絡襲擊。

  在業界方面,事故協調中心與行業商會合作向不同業界推廣網絡安全的認知及良好作業模式,並為本地的公私營機構及大眾提供資訊保安事故的消息、網絡威脅防禦指引及支援服務。資科辦更推行跨行業的「網絡安全資訊共享協作平台」與各公私營機構及網絡保安專家交流資訊、分享風險應對措施,以期更有效提升香港整體的網絡安全。網罪科亦會定期舉行季度網絡安全研討會,以提升銀行及金融服務、交通及航運服務、通訊服務、公共服務和政府服務不同界別應付網絡安全事故的整體防禦能力。

  自二○一四年起,網罪科與不同的業界持份者以及本港的關鍵基礎設施機構舉行各類型網絡安全演習。網絡安全演習通過各種模擬事故場景,測試參與者的事故分析能力、常設的事故應變程序及溝通機制的運作。模擬網絡攻擊事故包含各種常見且有深遠影響的情景,例如分散式阻斷服務攻擊、塗改網頁、入侵網絡及資訊系統、勒索軟件、惡意程式及敏感資料外洩等。此外,警方的網罪科於二○一八年一月聯同事故協調中心舉辦第二屆「跨部門網絡安全演習」,四十個政府決策局及部門透過不同模擬網絡攻擊的情境,加強在網絡安全領域的合作及事故應變的能力。

  在教育工作方面,資科辦、警方的網罪科亦聯同事故協調中心積極推動網絡安全專業人才的培訓,並與不同機構合辦活動,例如「網絡安全精英嘉許計劃」、雲端安全從業人員認證研討會及「資訊保安高峰會」,以提升資訊科技人員的資訊保安知識及技術。政府亦鼓勵大專院校在其資訊科技相關學科加強資訊保安課程,並在中小學推廣資訊保安知識,培養青年人對資訊保安的興趣和關注。

  多謝主席。



2018年11月14日(星期三)
香港時間14時35分