香港文匯報訊（記者 張弦）接連有特區政府部門以至公營機構外洩市民個人資料，引起了社會廣泛關注。有立法會議員要求政府查清事件原因，並檢視各部門的網絡安全措施，同時就數據安全進行內部演練，加強網絡安全意識和應對能力。有專家認為，涉事的政府職員或未跟隨指引處理資料，造成外洩事故，建議各部門更謹慎對待網絡安全。

民建聯立法會議員葛珮帆向香港文匯報表示，資料保存時長通常根據需要而定，近日機電工程署洩露的是疫情期間個人資料，認為疫後便應刪除，「復常已兩年，疫情時用的資料按常理應該已銷毀。」

她認為密碼系統失效情況極罕見，估計更多涉及人為因素，可能職員未有按指引操作，或系統遭黑客攻擊導致密碼失效。對沒有人管理系統，她要求徹查原因，「政府須嚴肅跟進，亦要檢視各部門網絡保安情況，避免同類事件發生。」

葛珮帆強調，政府部門洩露市民個人資料事件已非首次發生，特區政府應督促各部門安排指定人員定期監測和監管涉及個人私隱敏感數據的存儲，並定期刪除數據，以及就數據安全進行內部演練，主動識別和解決潛在風險或漏洞，強化防護能力。

特區政府計劃將資訊科技總監辦公室與效率促進辦公室合併為「數字政策辦公室」，由數字政策專員帶領，葛珮帆期望「數字政策辦公室」能更密切監察網絡攻擊趨勢與相關保安威脅，適時發出警報，並提高各部門網絡和資訊安全方面的應變能力，加強防範意識。

專家：工程師或未遵令刪除

「中港網絡安全協會」創會主席葉青陽認為，在類似的情況，一般在事件結束後資料會即時刪除或銷毀，估計當初有外判商參與，政府部門接手系統或資料時有指引要求職員處理。今次事件起因可能是署方接手後未有即時更改密碼、沒有進行系統維護，或工程師看到刪除指引但沒有執行，但毫無疑問署方對事件有責任，「如果有郵輪碼頭旅客資料洩露，會令外地對香港印象不好。」

他認為經過今次事件，無論機電署抑或是其他部門，都應更謹慎對待敏感數據的管理和網絡安全，執行相關指引時亦應有人負責嚴謹監督。他亦建議對相關職員和其他部門職員再培訓，「有個別企業會要求數據庫部門外的員工參與網絡安全相關培訓，此類問題只關IT部門事，乃是錯誤觀念。」