|
以下为今日(六月二十二日)在立法会会议上陈健波议员的提问和署理政制及内地事务局局长陈岳鹏的书面答复:
问题:
根据个人资料私隐专员公署(公署)二○一五年工作报告,公署在二○一五年收到98次机构外泄个人资料事故(外泄事故)的通报,影响871 000人的个人资料,较二○一四年的70次事故及47 000人受影响分别增加了40%及17.5倍。公署指出,部分外泄事故涉及黑客及恶意软件入侵、经电邮意外披露个人资料,以及机构的网站及电脑网络出现保安漏洞等。根据《个人资料(私隐)条例》(第486章),若有人认为其个人资料私隐受侵犯而蒙受损失,可根据该条例向相关的资料使用者申索补偿。有见及此,部分外国及香港保险公司近年提供与网路攻击有关的保险产品,保障范围包括因泄漏个人资料而引致的索偿、因违反保护资料的职责而造成的资料外泄,以及刑事和民事诉讼抗辩费用等。就此,政府可否告知本会:
(一)是否知悉,过去三年,公署接获的外泄事故通报所涉个人资料的详情(包括资料的性质,以及有否涉及信用卡的资料),以及有关的资料使用者有否因该等事故而须向资料当事人作出任何赔偿;若有,相关数字为何;
(二)鉴於资料使用者向公署通报外泄事故只属自愿性质,当局有否研究将通报订为强制性的法律责任;若有,详情为何;若否,原因为何;
(三)鉴於随着科技不断发展,而各行各业的机构及企业所处理的个人资料数量越来越多,当局是否知悉,公署有否进行宣传和推广活动,以期各机构及企业更重视保护个人资料;若有,详情为何;若否,原因为何;鉴於有商界人士指出,部分中小型企业(中小企)抵御网络攻击的能力薄弱,当局有否特别措施帮助中小企抵御网络攻击,以免系统内的个人资料外泄;若有,详情为何;若否,原因为何;及
(四)鉴於有保险业人士预期上述保险产品的需求将日益增加,而有关的核保及理赔人员需具备电脑系统、网络保安及保险等相关的专业知识,以调查网络安全漏洞、鉴定损失数字及提出改善建议等,当局有否评估目前保险业有否足够具相关专业知识的人才;若有评估而结果为足够,详情为何;若评估结果为不足够,当局会推行甚么措施,协助保险业提升有关的人力资源?
答复:
主席:
就陈健波议员的提问,经谘询个人资料私隐专员公署(公署)、创新及科技局和财经事务及库务局,现综合答复如下:
(一)公署於二○一三年六月至二○一六年五月期间共接获253宗有关个人资料外泄事故的通报,涉及的个人资料主要包括姓名、个人识别号码(例如身份证明文件号码、学生编号、职员编号)以及联络资料。其他较常见於事故通报的个人资料包括性别、国籍、出生日期、过往付款金额等,而其中涉及信用卡资料的个案有七宗。至于在这253宗事故中资料使用者有没有向资料当事人作出赔偿,公署并无这方面资料。
(二)根据政府了解,不同司法管辖区发生个人资料外泄事故的通报安排不尽相同,目前只有少数地区有强制要求有关资料使用者向负责私隐或资料保障的机构作通报,其中一些司法管辖区的通报要求只适用於个别指定的行业或界别。
政府在二○○九年检讨《个人资料(私隐)条例》时,曾就个人资料外泄通报机制征询公众意见,大部分收到的意见认为自愿性的通报机制较为可取。公署随后在二○一○年六月发出资料外泄事故的处理及通报指引,并在二○一五年十月修订了指引。我们会继续留意相关发展。
(三)公署一直致力推动「保障、尊重个人资料」的文化。自二○一四年起,公署更积极倡导机构及企业推行「私隐管理系统」,将个人资料和私隐保障纳入为企业管治责任的一环,并透过推介会、研习班等各种途径推广系统的理念、设计、执行和效益。
公署恒常的机构培训工作包括为不同行业举办课程、讲座和行业保障私隐活动,就收集及处理个人资料和资讯保安等相关事宜介绍良好的行事方式,以及鼓励机构制订全面的保障私隐策略。过去三年,相关活动涵盖银行/金融服务、保险、法律、流动应用程式开发、电讯、物业管理、零售、酒店、医疗等行业。
公署去年推出了「网上学习平台」,包括一套网上「中小企保障个人资料私隐自学课程」,按不同的业务功能向中小企提供日常工作的实用提示。完成课程后,中小企可自行制定其私隐计划,并会得到一份分析其机构如何处理个人资料和提供建议的报告。公署亦夥拍工业贸易署、香港生产力促进局的中小企一站通、香港贸易发展局中小企服务中心等机构举办讲座,向中小企介绍这套网上自学课程。
此外,政府致力向本地企业(特别是中小企)推广资讯保安意识和数据安全,包括保护个人资料,并提供适当支援。政府资讯科技总监办公室(资科办)透过香港电脑保安事故协调中心(协调中心),为本地企业及市民协调电脑保安事故应变工作,监测和发布保安警报,以及推广对资讯保安的认知。协调中心的「中小企业网站免费保安检查先导计划」,为参与的中小企免费提供网站保安漏洞扫描服务,以及提出改善资讯保安的建议。此外,资科办与协调中心合作,向中小企推广「检查-行动-验证」的方法,协助中小企识别潜在的网络威胁,并采取改善措施和验证相关措施的成效。在提高企业及公众对保护数据及网络安全的意识方面,政府通过公开研讨会、比赛、网站、电台广播、社交媒体等渠道(例如今年三月及五月举办的「中小企管理工作坊:商业网络安全及保安措施」和「防御勒索软件 做好数据保护」公开研讨会),加强教育及推广。
(四)据保险业监理处表示,香港现时有数间保险公司有提供网络保险,保障范围据了解可包括因泄漏个人资料而引致的经济损失及法律责任。由於网络保险涉及不同领域(特别是科技方面)的专业人才,对相关人才的需求相对较大。
为提升保险和资产财富管理两个界别的人才培训,政府已拨款一亿元推出一项为期三年的先导计划,将推行的措施包括资助举办优质及高技术培训课程。先导计划的督导委员会有讨论为网络保险提供专门培训课程的需要,财经事务及库务局稍后会和业界商讨有关培训课程的细节。
完
2016年6月22日(星期三)
香港时间15时35分
|
