政府及公營機構資料外洩事件簿(方保僑)
個人資料私隱專員公署於5月14日公布,指最近接獲不同政府及公營機構,包括機電工程署、消防處及市建局的資料外洩事故通報中,注意到3宗事故的個人資料均存放於第三方網上平台,涉及登入密碼及/或權限設定失效,令該平台的資料可在毋須以賬戶及/或密碼登入特定頁面的情況下被瀏覽。就以上3宗事故,私隱專員公署已依據既定程序展開調查,雖然相關事故皆沒有資料證實有黑客入侵,但礙於有個人資料可能在互聯網被披露,所以3間機構都選擇對外公告有個人資料外洩風險,希望受影響市民提高警覺。
機電工程署5月初發現有個人資料外洩風險時,政府資訊科技總監辦公室早於5月5日表示,高度關注近期接連有政府部門出現資訊保安事故,並已向所有決策局及部門首長發出清晰指示,要求部門全面檢視現有資訊保安措施,提醒各政府部門敏感及個人資料不可存放於第三方公用雲端平台上,同時要求部門在一星期內向資科辦回覆。資科辦亦提醒其轄下所有系統和用戶,必須嚴格遵守政府資訊保安規例、政策及指引,處理敏感及個人資料。
按政府的資訊保安政策,敏感及個人資料不能儲存於第三方公用雲端平台,我認為這個指引絕對合情合理,原因並非第三方公用雲端平台的保安不及政府的雲端平台,但由於各部門處理方法不一,不同平台的設計和保安各異,只有把敏感和個人資料存放在政府的雲端平台上,才能更有效統一保管資料,以及抵禦外來攻擊。若要有效地運作,除制定政策外,應提供清晰指引。儘管政府的雲端平台保安嚴密,假如有人員沒有跟足指引,個人資料仍有機會暴露在互聯網,所以員工的紀律和操守非常重要。
私隱專員公署呼籲如果有用戶曾經把資料,特別是個人資料,上載到雲端平台,包括政府和公私營機構,宜定期檢視相關雲端平台的登入密碼及/或權限設定是否有效,以確保資訊安全。倘檢視後發現有問題,導致個人資料可能外洩,應盡快通知受影響資料當事人,並向公署作出通報。
現時法例無要求個人資料外洩的機構必須通報私隱專員公署。公署正與政府研究修例,建議引入強制性通報,提高違例的所有罰則,以及引入行政罰款機制,讓公署可直接向違例者施加罰款,以提高阻嚇性。
黑客入侵和資料外洩事件與日俱增,不論公私營企業,有責任妥善處理及保障客戶的個人資料,並需要時刻提高警覺,防止黑客入侵。
更多方保僑文章:
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
 - EJ Tech){kind=link}
){kind=link}