個人資料私隱專員公署記者會,公布機構資料外洩事故調查報告。(資料圖片))
多個政府部門及公營機構接二連三爆出電腦系統資料外洩。上星期二(4月30日),機電署爆出前年3月至7月受疫情影響而被圍封的14幢大廈居民資料在網上任人瀏覽;4月19日,公司註冊處公布,他們在例行工作中發現「電子服務網站」的電子查冊系統出現個人資料外洩風險;去年9月,香港消費者委員會的電腦系統被黑客攻擊並遭勒索;去年8月,數碼港遭黑客入侵盜取包括求職者及離職者的資料,黑客其後因勒索不果,在暗網公開資料。
以上述消委會的個案為例,香港個人資料私隱專員公署調查後,列出消委會五項缺失,包括沒有為遠端存取資料啟用多重認證功能、沒有妥善設定用作偵測及攔截網絡安全威脅的軟件、欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料、資訊保安政策有欠全面及具體、保障個人資料私隱及網絡安全意識不足。
事實上,《個人資料(私隱)條例》及對其下六大原則規定機構須對個人私隱資料嚴格保護及遵守。六大原則下規定分別訂定有關(1)收集目的及方式;(2)準確性及保留期間;(3)資料的使用;(4)資料的保安;(5)透明度;及(6)查閱及改正。六大原則訂明資料使用者須為直接與其職能或活動有關的合法目的、個人資料準確無誤而保留時間「不超過」達致原來目的實際所需、而除非得到當事人自願給予的明示同意,否則個人資料不得用於「新目的」用途等等。
條例原則擺在眼前,惟政府部門及公營機構個人資料私隱外洩仍時有發生,是否反映各大部門機構沒有謹守六大原則?如果有做好,為何機電署在疫情期間的圍封資料仍未及時銷毀?數碼港為何沒有按《人力資源管理實務守則》,仍然「不必要地保留」求職及離職者的資料?須知道近年網上詐騙及電話詐騙氾濫,而保護個人私隱資料一向是嚴格遵從的守則,若然部門對保障個人資料私隱及網絡安全意識不足,後果可以很嚴重。我期望所有公私營機構積極檢視相關工作守則,加強私隱資料保障,避免再發生同類型事件。