新闻公报

立法会二题:加强资讯保安及对个人资料私隐的保障
  以下是今日(十一月十四日)立法会会议上莫乃光议员的提问和政制及内地事务局局长聂德权的答复:
 
问题:

  近年,政府部门和私人机构外泄大量个人资料的事故频生。有航空公司在得悉约940万名乘客的资料外泄半年后才于上月作出公布。此外,「转数快」快速支付系统推出不足一个月,即发生多宗骗案。骗徒利用市民的个人资料和供电子钱包用户设立直接扣帐授权服务的流程的漏洞犯案,令市民招致财务损失。关于加强资讯保安及对个人资料私隐的保障,政府可否告知本会:

(一)会否参考欧盟《通用数据保障条例》,研究在《个人资料(私隐)条例》中订明资料处理者的责任,以及当发生资料外泄事故时,资料使用者须于指定时限内向个人资料私隐专员公署通报并通知资料当事人;及

(二)会否全面评估现时政府部门、金融和电讯等行业,以及公用事业机构面对的资讯保安风险、制订跨行业的资讯保安策略,以及加强培训资讯保安人才(例如成立专门学院)?

答复:

主席:

  就莫乃光议员有关加强保障个人资料私隐及提升应对资讯保安风险的提问,经谘询创新及科技局和保安局后,就问题的各部分回复如下。

(一)《个人资料(私隐)条例》(《私隐条例》)于一九九五年制定,并于一九九六年正式实施。政府在二○○九至二○一○年曾就《私隐条例》及相关的立法修订建议进行公众谘询,其后于二○一一年向立法会提交的《个人资料(私隐)(修订)条例草案》于二○一二年六月获立法会通过。

  当年就《私隐条例》进行谘询时,个人资料外泄通报机制是其中一个谘询课题,当时的主要考虑是应否订立通报机制,要求相关机构在个人资料外泄时通知个人资料私隐专员公署(公署)及受外泄事故影响的人士,让他们采取措施减低因个人资料外泄所引致的风险,以及通报机制应为自愿抑或强制性。当时接获的公众意见约半數支持自愿性的通报机制,约四分之一支持强制性的通报机制。支持自愿性机制的回应者认为强制性机制会对资料使用者造成沉重负担。考虑到实施强制性的通报机制可能造成的影响,政府当时决定先推行自愿性通报机制。为协助资料使用者作出资料外泄通报,公署于二○一○年六月发出资料外泄事故的处理及通报指引,并在二○一五年十月就指引作出修订。公署所发出的指引就处理资料外泄的相关步骤向资料使用者提供指导和协助,并附有资料外泄通报表格,以方便资料使用者作出通报。

  政府和公署留意到因应近年科技的发展和广泛应用,个人资料的处理趋向大量化及数据化,个人资料外泄事件所涉及的资料数量较以往增加,对资料使用者和拥有者构成的风险亦相应增加。有意见认为,今次国泰航空事件反映《私隐条例》存在修订和改善的空间。就此,政制及内地事务局将密切注视公署就今次事件的调查结果和建议;与此同时,我们亦已主动联同公署检视《私隐条例》的相关规定和罚则。我们留意到有意见认为应要求资料使用者适时通报资料外泄事件,但同时注意到部分人士对于如何定义「资料外泄」和企业合规能力和营运成本的关注。我们会小心研究如何加强规管资料保护和通报安排。
                                
(二)为保障政府的资讯系统及数据资产,政府资讯科技总监办公室(资科办)参照国际标准制订了一套全面的《政府资讯科技保安政策及指引》(《政策及指引》),涵盖多个范畴,包括:资讯保安的管理架构及人力资源的保安要求、资讯系统及数据资产的保护和加密要求、接达及存取控制、网络及外判服务的保安,以及事故应变和复原等。资科办会定期进行审计以确保各部门严格遵行《政策及指引》,并会不时检讨和更新《政策及指引》,以应对不断变化的网络威胁。

  各重要行业、机构及非政府拥有的基础设施,则由相关规管机构厘定规管措施。由于各个行业有其独特的业务性质,他们所制订的资讯保安策略,以及事故应变和业务运作复原的安排亦会有所不同。各界可参考资科办网站内的《政策及指引》,制订切合其需要的资讯保安政策和措施。在有需要时,资科办亦会与相关规管机构交流并提出建议。

  此外,资科办、香港警务处的网络安全及科技罪案调查科(网罪科)及香港电脑保安事故协调中心(事故协调中心)紧密合作,为不同持份者包括政府部门、重要行业及机构以至市民大众提供网络安全相关的资讯及支援,并就重要事故发放资讯及建议预防和补救措施。为预防及打击科技罪案,网罪科一直致力协助重要基础设施营运者提升网络安全意识及处理网络事故的能力,并适时进行网络威胁的审计及分析,以防止及侦查针对重要基础设施的网络袭击。

  在业界方面,事故协调中心与行业商会合作向不同业界推广网络安全的认知及良好作业模式,并为本地的公私营机构及大众提供资讯保安事故的消息、网络威胁防御指引及支援服务。资科办更推行跨行业的「网络安全资讯共享协作平台」与各公私营机构及网络保安专家交流资讯、分享风险应对措施,以期更有效提升香港整体的网络安全。网罪科亦会定期举行季度网络安全研讨会,以提升银行及金融服务、交通及航运服务、通讯服务、公共服务和政府服务不同界别应付网络安全事故的整体防御能力。

  自二○一四年起,网罪科与不同的业界持份者以及本港的关键基础设施机构举行各类型网络安全演习。网络安全演习通过各种模拟事故场景,测试参与者的事故分析能力、常设的事故应变程序及沟通机制的运作。模拟网络攻击事故包含各种常见且有深远影响的情景,例如分散式阻断服务攻击、涂改网页、入侵网络及资讯系统、勒索软件、恶意程式及敏感资料外泄等。此外,警方的网罪科于二○一八年一月联同事故协调中心举办第二届「跨部门网络安全演习」,四十个政府决策局及部门透过不同模拟网络攻击的情境,加强在网络安全领域的合作及事故应变的能力。

  在教育工作方面,资科办、警方的网罪科亦联同事故协调中心积极推动网络安全专业人才的培训,并与不同机构合办活动,例如「网络安全精英嘉许计划」、云端安全从业人员认证研讨会及「资讯保安高峰会」,以提升资讯科技人员的资讯保安知识及技术。政府亦鼓励大专院校在其资讯科技相关学科加强资讯保安课程,并在中小学推广资讯保安知识,培养青年人对资讯保安的兴趣和关注。

  多谢主席。




2018年11月14日(星期三)
香港时间14时34分