龍七公：多管齊下加強網絡資訊安全

日前六福珠寶會員資料庫疑遭黑客入侵，並在暗網放售。據稱，案中涉及500萬本港及內地會員的姓名、出生日期、住址、身份證號碼、帳戶密碼、手機號碼等個人資料。另一宗的港專資料外洩事故，公署日前接獲校方最新呈報，受影響人數已增至8,100人。校方對此深表歉意，將為受影響人士提供為期半年的免費「信貸監察服務」及「暗網監控服務」，以加強保護個人資料。

資料外洩事故一般指資料使用者持有的個人資料懷疑外洩，甚至有被未獲准許的查閱、處理或使用的風險。近年各地執法部門和相關機構，也加強對個人資料保護和跨境資料轉移進行監管，如歐盟於2018年頒布《通用數據保障條例》（GDPR）、美國部分地區同年簽署《加州消費者私隱法》（CCPA），以及中國2021年頒布《個人信息保護法》。為應對資料外洩上升趨勢，GDPR和某些國家的法例載有嚴格的資料外洩事件通知規定，強制機構必須向監管機構和相關個別人士通報資料外洩事件。

事實上，香港現行的個人資料外洩通報機制是自願性而非強制，不排除有機構或擔心損害聲譽，傾向不公布事故。值得一提的是，今次港專個案就是自案發後近3個月才公布資料外洩。另外，現行法例下機構或企業一旦導致資料外洩，只要依私隱專員公署要求進行修正或改善，就毋須負刑責，明顯阻嚇力不足。就此，筆者認為應針對資料外洩建立罰則，引入責任制，加強保障受害者。特區政府應盡快修訂《個人資料（私隱）條例》，引入強制性資料外洩通報，加重罰則，以及加入行政罰款機制，如政府部門或公營機構出現個人資料外洩，有關部門或機構的首長及資訊科技項目主管必須問責。

此外，各界亦需提升網絡及資訊安全意識。特區政府應在所有資訊科技項目中引入「隱私數據評估和審計」，以及未來「數字政策辦公室」須密切監察網絡攻擊的趨勢和保安威脅，適時發出警報通知，並提高各政府部門相關的即時應變能力和防範意識；私人機構應評估所收集的個人資料是否必要，避免收集過多資料，及時刪除不必要的個人資料；政府亦需加強教育，提醒市民謹慎提供個人資料，並了解機構保留其資料的期限和相關安全措施，多管齊下，更全面保障網絡及資訊安全。