立法會議員 葛珮帆
科技一日千里,而互聯網及通訊科技在近十年已廣泛地應用在各項經濟商貿領域,市民的日常生活亦普遍受到影響。可惜,本港對於保障個人資料及網絡安全的政策及法例,卻未跟隨科技發展而進行檢討,以致出現一宗又一宗個人私隱外洩或金錢財產損失的事件。
多宗網絡事故發生
上個月,國泰航空表示3月時,發現公司的資訊系統受到黑客攻擊,及至5月確認有約940萬名客戶的資料被不當取覽,事態嚴重。令人憤怒的是,國泰拖延了足足七個月,才公布事件,無視市民的知情權,亦漠視讓受影響人士及早進行各項補救措施的需要。此外,金管局日前證實收到汇豐銀行的報告,指有近20名市民的「PayMe電子錢包」帳戶被盜,並造成金錢損失。
儘管特區政府已表示高度關注,私隱專員亦就國泰事件進行循規調查,金管局還要求汇豐採取相應行動,保障客戶的帳戶安全,並檢視及改善PayMe的流程,但本港相繼發生個人資料外洩及電子支付網絡的漏洞,反映現行保障個人資料的法例欠穩妥,而保障網絡私隱安全的意識亦極低。
與時俱進 加強保障
現今各地均極為重視網絡私隱安全,例如內地政府早於2016年已通過《網絡安全法》,而澳門近期亦通過《網絡安全法法案》,要求各持份者確保網絡數據完整及得到充分保障,而網絡經營者亦須查核及登記客戶的身份資料,並在發生網絡安全事故時作出通報,違者處以行政罰款。反觀本港現時並無法例要求持份者須匯報遭受黑客入侵等網絡安全事故,以致不少事件要待傳媒揭發,公眾才知悉,此反映本港現有保障網絡安全的措施並不全面。因此,民建聯建議特區政府應盡快制訂《網絡私隱安全法》,加強網絡私隱安全規管,以保障市民的網絡私隱安全。
至於保障個人私隱資料方面,上一次的檢討已是2009年。所謂十年人事幾番新,更何況是資訊科技!今年5月,歐盟已通過類似的《通用資料保護規例》,加強規管有儲存客戶個人資料的機構,包括列明外洩通報的時限、符合信息安全管理ISO27001的標準,及存有信用卡資料的機構須符合PCI-DSS(PaymentCardIndustryDataSecurityStandard)安全認證等要求,以保障個人資料安全。然而,本港現時並沒有要求洩露個人資料的企業或機構,必須在一定時間內公布情況,就此,民建聯認為應修訂法例,設立合理的通報時限,並要求相關企業或機構嚴格遵守。
最後,隨着互聯網經濟的發展,個人資料變得越來越有價值,故企業往往要求客戶提交大量甚至不必要的個人資料,就此,我們認為當局有必要檢討及規限企業或機構收集個人資料的行為,例如界定何謂敏感個人資料,企業基於什麼目的才可儲存有關敏感個人資料,此外,應要求企業詳細列明保存資料的方式及期限,以及收集及儲存相關資料的目的及理由,加強對市民的保障。