葉傲冬 民建聯秘書長

近日接連有政府部門及公營機構出現個人資料外洩事件，導致超過11萬名市民受到影響，引發社會對於政府在個人私隱風險管理方面的關注和擔憂。有關事件暴露出政府在保障個人私隱上的不足，以及內部監管出現的漏洞。當局必須嚴肅跟進處理，認真檢視現行機制，並採取進一步的措施加以改善，確保所有政府部門、公營機構以及外判承辦商遵守指引，做好私隱保護及風險防範的工作，讓公眾的資料得到適當的保障，避免同類型事件再次發生。

隨着資訊科技日益發展，以及通訊基礎設施不斷完善，香港的經濟、商業運作，以至市民的日常生活，愈來愈依賴互聯網及智能裝置。雖然政府已就資訊系統及網絡安全制定及持續落實一系列評估、監察、風險管理及應變制度，惟近年屢次發生資料外洩事故，當中的原因包括牽涉技術漏洞、人為失誤、黑客攻擊和監管不足等，令市民質疑制度的成效及執行情況。

近期發生的資料外洩事件大多數與承辦商有關，例如消防處早前因外判承辦商在轉移資料時擅改讀取權限，令逾5,000人資料具外洩風險；公司註冊處「電子服務網站」內的電子查冊系統亦因承辦商在設計系統時出現漏洞，令多名市民的姓名、證件號碼及住址等資料外洩。種種事件都顯示出政府在監管承辦商和外判服務方面的管理不足，政府應在招標時加強對承辦商的篩選和評估，確保他們具備足夠的技術能力和資訊安全意識，並評估他們過去的紀錄和工作經驗。在簽訂合同和服務協議時，亦應明確規定資訊安全的責任，確定敏感資料的保護措施、風險管理和監管要求，以及違約的後果和懲罰機制。

保護市民的個人私隱是政府的責任之一，要防止資料外洩，除加強監管承辦商以外，政府各個部門和公營機構也需要建立更加嚴格和全面的資訊安全標準和指引，例如引入「私隱數據評估和審計」，確保系統不會向公眾披露過多和不必要的個人數據，讓敏感個人資料得到適當的保護。此外，定期審查和監測系統的使用情況是確保個人資料安全的重要步驟。政府應該定期檢視系統和應用程式的使用情況，檢測任何異常活動或安全漏洞。這樣可以及早發現和處理潛在問題，並加強對系統的安全性控制，防患未然。

為支援各局及部門監督其本身及其轄下公營機構的資訊系統項目，政府將於今年中設立「數字政策辦公室」。「數字辦」未來應積極發揮作用，做好監察網絡攻擊和保安防範，提供專業的指導和支援，以確保政府部門和其轄下公營機構的資訊系統項目可以安全和有效運作。