香港個人資料私隱專員公署及香港生產力促進局今日（21日）共同公布「香港企業網絡保安準備指數及AI安全風險」 調查報告結果。「香港企業網絡保安準備指數」錄得52.8點（最高100點），較去年上升5.8點，重回接近2022年水平，但仍然維持於「具基本措施」級別，可見企業仍然有很大的進步空間。中小企（48.4點）及大型企業（73.1點）的指數均錄得升幅，分別上升4.8點及10.6點，大型企業的指數更升至有紀錄以來最高。

　私隱專員公署及生產力局在今年9月至10月成功訪問了442間本地企業，包括80間大型企業及362間中小企，以了解各企業的網絡保安措施。結果顯示，大型企業及中小企的「準備指數」均呈升勢，分別上升10.6點及4.8點；惟整體仍處於「具基本措施」水平，即有一致保安措施，惟欠缺中央管理和精細控制。

　調查顯示，69%受訪企業在過去12個月內曾遇到至少一類網絡安全攻擊，較去年稍微下跌4個百分點，但仍高於2022年的水平（65%）。有超過七成（71%）大型企業受網絡安全攻擊，與去年數字相若，然而受網絡安全攻擊的中小企百分比減少，較去年稍跌4個百分點。

　釣魚攻擊依然是最常見的網絡安全攻擊類型，98%的企業曾在今年遇過這類攻擊，數字按年上升2個百分點。除網絡釣魚電子郵件（79%）及假冒其他機構的網絡廣告（42%）等常見的釣魚攻擊外，調查亦發現網絡釣魚簡訊（38%）較去年更為普遍，增加了4個百分點。

　個人資料私隱專員鍾麗玲（左）及生產力局數碼轉型部總經理陳仲文（右）聯合發表調查結果。

　「準備指數」由「保安政策及風險評估」、「技術控制」、「流程控制」和「員工網絡保安意識」4個範疇組成，所有分項指數均呈升勢，其中「員工網絡保安意識」已連續6年排行最低。生產力局數碼轉型部總經理陳仲文表示，不少企業只在員工入職時提供培訓，惟沒再定期舉行「釣魚測試」及網絡安全演習，提醒員工需隨時應對風險。他又指，資訊及通訊技術成唯一指數呈跌勢的行業，亦源自企業以為員工本已具備意識。

　調查亦發現，大型企業較中小企更積極提供AI相關的培訓及制定關於AI安全風險的政策。在營運中使用AI的企業中，有82%大型企業現時已有或計劃為員工提供有關AI的培訓，而74%大型企業已制定或計劃制定關於AI安全風險的政策，但中小企分別只佔一半左右（52%及45%）。另一方面，只有少於兩成（17%）的受訪中小企表示計劃在未來12個月內增加使用AI技術以加強數據和網絡安全，然而，超過四成大型企業（46%）有相關計劃。

　個人資料私隱專員鍾麗玲表示：「私隱專員公署一直積極推動保障數據安全的工作，今年的『香港企業網絡保安準備指數』較去年上升5.8點，當中大型企業的指數更升至有紀錄以來最高。而人工智能安全是國家安全的重點領域之一，隨着AI應用日漸普及，AI的私隱風險及數據安全不容忽視。企業不論規模大小，均有責任在善用AI之餘，採用數據安全防護措施保障個人資料私隱。私隱專員公署鼓勵企業參考公署出版的《人工智能（AI）:個人資料保障模範框架》，以確保企業採購、實施及使用AI時，遵從個人資料私隱條例的相關規定，加強保障數據安全。」（撰文/攝影：李銘欣）