立法會九題:數據管治體系
************
問題:
關於數據管治體系,政府可否告知本會:
(一)鑑於最新一份《施政報告》提出,政府會於二○二三年內發布促進數據流通及保障數據安全的管理辦法,「管理辦法」的性質為何;鑑於有意見認為,數據流通及數據安全只是數據管治體系的其中兩項要素,當局會否考慮制定整全的數據管治法規;如會,詳情為何;如否,原因為何;
(二)鑑於最新一份《施政報告》提及,政府(i)於二○二三年六月與內地當局簽訂合作備忘錄,以促進內地數據在粵港澳大灣區(大灣區)內跨境安全流動,以及(ii)現正與廣東省當局商討在大灣區以先行先試方式,簡化內地個人數據流動到香港的合規安排,以便利大灣區內包括金融、醫療等跨境服務提供,當局有否計劃以信息流帶動大灣區內的人流、物流及資金流;如有,相關措施的具體計劃和時間表為何;如否,原因為何;
(三)鑑於政府於二○二三年六月七日回覆本會議員質詢時表示,政府不一定需要把所有數據集中放在一個平台,但會通過構建「授權數據交換閘」促進政府部門之間的數據互通,而政府目標於二○二四年年底前推出該交換閘,有關工作的最新進展為何;及
(四)當局在推動數據互通以促進創科和金融等行業的發展時(例如於二○二三年年底前將「授權數據交換閘」連接香港金融管理局的「商業數據通」),有何網絡安全和數據安全的保障措施,以實現數據安全流動、有序共享的願景?
答覆:
主席:
就簡慧敏議員的提問,經諮詢保安局、財經事務及庫務局及香港金融管理局(金管局)後,我現答覆如下:
(一)數據治理包含多個元素,包括數據的整合、應用、開放、共享;數據安全;基礎設施;產業規劃;以及與不同的標準和監管框架的銜接等。政府一直以多軌並行的策略,從政策、法例和指引、配套設施等多方面,構建適合香港情況的數據治理體系。
數據流動及數據安全是推動及優化數據治理的重要元素。就此,《行政長官2023年施政報告》公布政府將發布關於促進數據流通及保障數據安全的管理辦法,目的是為闡述我們就相關數據治理元素的管理理念和策略,循頂層設計、政策、指引、法規、基建配套、數據跨境流動等範疇,提出進一步推動數據互聯互通及數據安全的行動綱領。我們將於今年年底前發布上述的管理辦法。
(二)促進內地數據在粵港澳大灣區(大灣區)安全跨境流動,是推進粵港澳三地數字經濟及智慧城市發展的重要舉措。創新科技及工業局與國家互聯網信息辦公室於二○二三年六月簽訂的《促進粵港澳大灣區數據跨境流動的合作備忘錄》(《備忘錄》),讓我們可以在國家數據跨境安全管理制度下,推動內地數據在大灣區內安全有序流通到香港,既能降低企業數據跨境流動的合規成本,亦能促進大灣區數字經濟及科研發展,有助香港積極融入大灣區和國家發展大局,同時有利於香港建設成為國際數據港。
按《備忘錄》訂下的框架,政府資訊科技總監辦公室(資科辦)正與廣東省網信辦爭取盡快落實以先行先試方式,簡化內地個人信息流動到香港的合規安排。首階段先行先試安排預計會先應用於金融、徵信及醫療等有高需求的跨境服務上,從而促進區內相關跨境服務的提供,便民利商。我們會按第一輪先行先試的效果及實際情況,有序擴展便利措施至其他業界。
(三)資科辦正構建「授權數據交換閘」,並將於二○二三年年底前率先推出連接金管局「商業數據通」功能,便利政府部門在金融機構獲得企業客戶授權下與其分享相關數據。資科辦將於二○二四年年底前推出「授權數據交換閘」相關功能,讓市民可授權政府部門分享其個人資料,方便市民使用電子政府服務。日後「智方便」平台的功能提升後,市民可經由「智方便」提供一次性授權,以便利用「授權數據交換閘」直接在應用程式內瀏覽其在不同政府服務內的相關個人資訊,亦可在申請其他政府服務時透過「智方便」的「填表通」功能自動輸入個人資訊,省卻重複輸入或遞交相同資料的需要,實現政府服務「一網通辦」的目標。
(四)政府在促進數據共享及應用時,會從多層次保障數據安全,針對數據的管治、分類、評級、保護、審計、風險評估、監察和應變等。
例如「授權數據交換閘」本身不會儲存任何相關的分享數據。局/部門之間所分享的數據只會儲存於其系統內,而局/部門必須為其資訊系統及數據保安定期作出風險評估和審計,以維護政府系統及數據安全。在網絡傳送上,「授權數據交換閘」會以加密方式連接相關局/部門的系統及「商業數據通」。「授權數據交換閘」亦會採用資科辦的「共用區塊鏈平台」,確保市民的授權及局/部門之間的數據分享記錄不能篡改。在構建「授權數據交換閘」過程中,資科辦亦已諮詢個人資料私隱專員公署,並已委聘獨立第三方為「授權數據交換閘」系統進行保安風險評估和審計以及個人私隱影響評估,以確保符合《個人資料(私隱)條例》的規定。
另一方面,由金管局推出的「商業數據通」已設有相應守則,要求參與銀行確保收集數據的範圍和使用必須符合中小企作為數據擁有人所同意的目的。技術上,「商業數據通」以加密方式連接銀行和數據提供方,系統本身不會儲存任何商業數據,更設有一系列相應的資訊保安要求,以保障中小企的私隱和確保資料安全。同時,該平台有嚴謹的管治機制以保障客戶。
面對不同行業的重要基礎設施可能受到的保安風險,警務處轄下的重要基礎設施保安協調中心和網絡安全中心24小時運作。協調中心透過公私營機構合作、風險管理、現場保安檢查等,加強重要基礎設施的自我保護及復原能力;網絡安全中心則適時進行網絡威脅的審計及分析,以防止及偵查針對重要基礎設施的網絡攻擊。
與此同時,政府會着力提升關鍵基礎設施(包括能源、通訊、交通運輸、金融機構等)網絡安全的保護,包括建議制定法例,訂定關鍵基礎設施營運者的網絡安全責任。政府正擬訂立法建議,其後會諮詢立法會保安事務委員會及相關持份者的意見。目標是於二○二四年內向立法會提交立法草案。
完
2023年11月15日(星期三)
香港時間14時30分
香港時間14時30分