資料外泄投訴飆升 私隱公署去年接129宗創新高

去年公署接獲機構外泄個人資料事故的通報，較2017年上升22%。

個人資料私隱專員公署。資料圖片

香港個人資料私隱專員公署今日總結2018年工作，去年公署接獲機構外泄個人資料事故的通報數字創新高，有129次通報，較2017年上升22%，涉及黑客入侵、系統設定有誤、遺失文件或便攜式裝置等。去年投訴個案亦大幅上升23%至1890宗，以涉及資訊及通訊科技應用的範疇最多，有501宗，比去年上升超過1倍，當中在互聯網披露或泄漏個人資料投訴數字更上升逾3倍至270宗。

香港個人資料私隱專員公署黃繼兒今日總結2018年工作。

私隱專員黃繼兒指出，通訊科技不停創新，為市民帶來方便，但同樣帶來私隱憂慮，2018年的資料外泄事故由以前不當使用及搜集，演化至資料保安問題，亦令增加調查工作難度。公署去年主動進行了共289次循規審查，較2017年的253次上升14%，又主動進行了4次深入的循規調查，較2017年的1次上升3倍。他認為，公署編制只有69人，但工作一直上升，希望政府增加一半人手及資源。

去年投訴及查詢數字創新高，分別上升23%至1890宗及上升8%至16875宗，被問及數字是否受國泰資料外泄事件影響，黃繼兒認為並不只單一事件影響，由於去年發生多宗大型資料外泄事故，在傳媒報道效應下令市民查詢及投訴上升。

黃繼兒。資料圖片

至於公署常被指稱「無牙老虎」，黃繼兒則說：「天生無牙一係種牙、一係補牙，因此要到立法會修訂私隱條例。」他透露，現時修例進度已到最後階段，期望上半年可向政府提出建設性溝通，範圍包括是否需要強制通報、通報對象應否包括受影響人、機構儲存個人資料的時限、調整違規罰則，以及公署是否要有更大權力等。

黃繼兒又表示，保護個人資料成效不能單靠執法，今年公署將繼續向中小微企推廣合規個人資料和數據倫理道德的私隱管治制度，並會就一些行業發出針對性指引，包括「金融科技」及「去識別化」指引供業界及公眾參閱。

設計圖片

香港兆基創意書院及香港專業進修學校去年分別發生涉及黑客入侵的資料外洩事故，私隱專員公署完成視察兩間教育機構的個人資料系統。私隱專員認為整體來說，兩間教育機構在處理學生及教職員的個人資料方面，符合《私隱條例》附表有關資料保安的規定。

個人資料私隱專員公署(圖片來源:星島日報)

視察結果顯示，兆基書院在資訊系統遭黑客入侵後，已採取多項技術性措施以加強資訊系統的保安，包括建立修補程式的管理程序、為帳戶的虛擬私人網絡（VPN）登入啟用雙重認證功能及設定高強度密碼。在存取管控方面，兆基書院採用「最小權限」及「角色為本」的存取管控機制。

私隱專員建議兆基書院，在資訊保安及資料保留方面制定更詳細及具體的政策、提升資訊系統的偵測措施，以及加強對資料處理者在妥善銷毀其所持有的個人資料方面的管理與監督。

香港兆基創意書院去年發生涉及黑客入侵的資料外洩事故。 香港兆基創意書院圖片

公署表示，港專在事故發生後，已採取多項技術性措施以加強資訊系統的保安及偵測能力，並已落實建立個人資料私隱管理系統，委任專責人員擔任保障資料主任，以及為員工提供有關保障個人資料的培訓及資訊，提高員工網絡安全及防範可疑電郵的意識。

私隱專員建議港專，制定更全面及具體的資訊保安政策及資料保留政策、加強檢視載有個人資料的資訊系統紀錄，以及對資訊系統定期進行保安審計，以進一步保障所持有的個人資料。