近期數碼港及消委會均發生資訊系統被黑客入侵,大量個人資料外洩事故。個人資料私隱專員鍾麗玲稱非常關注事件。她透露至今午5時,公署就數碼港事件收到24宗投訴、52宗查詢。就消委會事件,則收到一宗投訴及8宗查詢。
現難講消委會有無違規
被問到消委會是否未有按條例採取切實可行的步驟保障資料,鍾麗玲稱昨(21日)早上收到消委會通報,具體情況要對方進一步調查,「很難講到或下到一個判斷,究竟他們有無違規」。公署表示,正對消委會進行初步查詢,現階段很難說何時完成調查,要視乎修復系統的進度及對方提供的資料。
對於數碼港事件後,再發生消委會的事件,是否代表現行的指引無效。鍾麗玲稱政府資訊科技總監辦公室發出亦有很多指引,公署亦有跟從,呼籲公私營機構亦參考,日後會加強宣傳推廣。
正調查數碼港事件
被問到數碼港在事發後十多天方公布事件,做法是否理想?鍾回應,鼓勵機構盡快通知受影響人士,如果有機構向公署通報但未通報受影響人士,公署會提醒,「過往一直都有做」,但現時調查仍在初步階段,不便評論,懲處方面亦言之尚早。她表示,數碼港事件中,公署是在8月18日收到通報,目前已經調查中。
鍾強調,所有機構必須遵守個人資料私隱條例的規定,包括採取切實可行的步驟,確保由機構持有的個人資料受到保障。她建議持有個人資料的機構,定期進行保安風險評估,呼籲公私營機構審視保安資料系統,防範受到惡意攻擊,包括安裝防火牆;定期對資訊及通訊系統進行保安漏洞評估及滲透測試;加密傳輸中和存儲中的資料;採用「最小權限」的原則,授予用戶盡可能少的存取權限以完成工作等。
她並指,每個機構均有責任確保資料安全,視乎情況會啟動調查,進一步則會發表調查報告或執行通知,要求更正。
建議修例強制資料外洩通報
鍾麗玲稱,現提出修改法例建議方向,包括強制資料外洩通報、引入行政罰款機制、加強罰則。她表示,公署「時不時」收到資料外洩事故的通報,但基於保密、影響範圍小,及對方是調查中但預先通知,故現不透露機構名稱。@
------------------
💎成為會員 📧訂閱電子報
https://hk.epochtimes.com/subscribe
🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand