問題:
主席,根據個人資料私隱專員公署 (“公署”) 2015年工作報告,公署在 2015年收到 98次機構外洩個人資料事故 (“外洩事 故 ”) 的通報,影響 871 000人的個人資料,較 2014年的 70次事故及 47 000人受影響分別增加了 40% 及 17.5倍。公署指出,部分外洩事故 涉及黑客及惡意軟件入侵、經電郵意外披露個人資料,以及機構的網站及電腦網絡出現保安漏洞等。根據《個人資料 (私隱) 條例》(第486 章),若有人認為其個人資料私隱受侵犯而蒙受損失,可根據該條例向相關的資料使用者申索補償。有見及此,部分外國及香港保險公司 近年提供與網路攻擊有關的保險產品,保障範圍包括因洩漏個人資料而引致的索償、因違反保護資料的職責而造成的資料外洩,以及刑事和民事訴訟抗辯費用等。就此,政府可否告知本會:
(一) 是否知悉,過去3年,公署接獲的外洩事故通報所涉個人資料的詳情 (包括資料的性質,以及有否涉及信用卡的資料),以及有關的資料使用者有否因該等事故而須向資料當事人作出任何賠償;若有,相關數字為何;
(二) 鑒於資料使用者向公署通報外洩事故只屬自願性質,當局有否研究將通報訂為強制性的法律責任;若有,詳情為何; 若否,原因為何;
(三) 鑒於隨着科技不斷發展,而各行各業的機構及企業所處理的個人資料數量越來越多,當局是否知悉,公署有否進行宣傳和推廣活動,以期各機構及企業更重視保護個人資料;若有,詳情為何;若否,原因為何;鑒於有商界人士指出,部分中小型企業 (“中小企”) 抵禦網絡攻擊的能力薄弱,當局有否特別措施幫助中小企抵禦網絡攻擊,以免系統內的個人資料外洩;若有,詳情為何;若否,原因為何; 及
(四) 鑒於有保險業人士預期上述保險產品的需求將日益增加,而有關的核保及理賠人員需具備電腦系統、網絡保安及保險等相關的專業知識,以調查網絡安全漏洞、鑑定損失數字及提出改善建議等,當局有否評估目前保險業有否足夠具相關專業知識的人才;若有評估而結果為足夠,詳情為何;若評估結果為不足夠,當局會推行甚麼措施,協助保險業提升有關的人力資源?
政制及內地事務局局長:主席,就陳議員的質詢,經諮詢個人資料私隱專員公署 (“公署”)、創新及科技局和財經事務及庫務局,現綜合答覆如下:
(一) 公署於 2013年 6月 至 2016年 5月期間共接獲 253宗有關個人資料外泄事故的通報,涉及的個人資料主要包括姓名、個人識別號碼 (例如身份證明文件號碼、學生編號、職員編號),以及聯絡資料。其他較常見於事故通報的個人資料包括性別、國籍、出生日期、過往付款金額等,而其中涉及信用卡資料的個案有7宗。至於在這253宗事故中資料使用者有沒有向資料當事人作出賠償,公署並無這方面資料。
(二) 根據政府了解,不同司法管轄區發生個人資料外泄事故的通報安排不盡相同,目前只有少數地區有強制要求有關資料使用者向負責私隱或資料保障的機構作通報,其中一些司法管轄區的通報要求只適用於個別指定的行業或界別。
政府在2009年檢討《個人資料 (私隱) 條例》時,曾就個人資料外泄通報機制徵詢公眾意見,大部分收到的意見認為自願性的通報機制較為可取。公署隨後在2010年6月發出資料外泄事故的處理及通報指引,並在2015年10月修訂了指引。我們會繼續留意相關發展。
(三) 公署一直致力推動“保障、尊重個人資料”的文化。自2014 年起,公署更積極倡導機構及企業推行“私隱管理系統”,將個人資料和私隱保障納入為企業管治責任的一環,並透 過推介會、研習班等各種途徑推廣系統的理念、設計、執行和效益。
公署恆常的機構培訓工作包括為不同行業舉辦課程、講座和行業保障私隱活動,就收集及處理個人資料和資訊保安等相關事宜介紹良好的行事方式,以及鼓勵機構制訂全面的保障私隱策略。過去 3年,相關活動涵蓋銀行/金融服務、保險、法律、流動應用程式開發、電訊、物業管理、 零售、酒店、醫療等行業。
公署去年推出了“網上學習平台”,包括一套網上“中小企保障個人資料私隱自學課程”,按不同的業務功能向中小企提供日常工作的實用提示。完成課程後,中小企可自行制訂其私隱計劃,並會得到一份分析其機構如何處理個人資料和提供建議的報告。公署亦夥拍工業貿易署、香港生產力促進局的中小企一站通、香港貿易發展局中小企服務中心等機構舉辦講座,向中小企介紹這套網上自學課程。
此外,政府致力向本地企業 (特別是中小企) 推廣資訊保安意識和數據安全,包括保護個人資料,並提供適當支援。政府資訊科技總監辦公室 (“資科辦”) 透過香港電腦保安事故協調中心 (“協調中心”),為本地企業及市民協調電腦保安事故應變工作,監測和發布保安警報,以及推廣對資訊保安的認知。協調中心的“中小企業網站免費保安檢查先導計劃”,為參與的中小企免費提供網站保安漏洞掃描服務,以及提出改善資訊保安的建議。此外,資科辦與協調中心合 作,向中小企推廣“檢查―行動―驗證”的方法,協助中小企識別潛在的網絡威脅,並採取改善措施和驗證相關措施的成效。在提高企業及公眾對保護數據及網絡安全的意識方面,政府通過公開研討會、比賽、網站、電台廣播、社交媒體等渠道 (例如今年3月及5月舉辦的“中小企管理工作坊:商業網絡安全及保安措施”和“防禦勒索軟件做好數據保護”公開研討會),加強教育及推廣。
(四) 據保險業監理處表示,香港現時有數間保險公司有提供網絡保險,保障範圍據了解可包括因泄漏個人資料而引致的經濟損失及法律責任。由於網絡保險涉及不同領域 (特別是科技方面) 的專業人才,對相關人才的需求相對較大。
為提升保險和資產財富管理兩個界別的人才培訓,政府已撥款1億元推出一項為期3年的先導計劃,將推行的措施包括資助舉辦優質及高技術培訓課程。先導計劃的督導委員會有討論為網絡保險提供專門培訓課程的需要,財經事務及庫務局稍後會和業界商討有關培訓課程的細節。