随着科技进步,网络攻击亦随之加剧。个人资料私隐专员公署(私隐专员公署)于2023年上半年(截至6月29日)接获55宗资料外洩事故的通报,与2022年下半年相比增加了超过20%。资料外洩事故不但影响所涉及的当事人,更会令机构声誉受损及蒙受损失。有见及此,
私隐专员公署今日发出新版的《资料外洩事故的处理及通报指引》(《指引》),向机构提供实用的建议,协助它们作好准备,一旦发生资料外洩事故可以有效地应对,并遏止损害及伤害扩大。
个人资料私隐专员钟丽玲表示︰「近年来资料外洩事故有上升趋势,不同规模和行业的机构都可能遭受网络攻击、或因人为错误引致资料外洩。为确保数据安全,《指引》建议机构应制订资料外洩事故应变计划,以助机构快速应对及有效管理资料外洩事故。《指引》亦提供清晰的步骤,协助机构妥善处理及管理资料外洩事故,以减低事故对当事人的影响及对机构可能造成的损害。」
具体而言,《指引》建议机构在处理资料外洩事故时应采取下述重要步骤︰
-
步骤1︰立即收集重要资料
-
步骤2︰遏止事件扩大
-
步骤3︰评估事件可造成的损害
-
步骤4︰考虑作出资料外洩通报
-
步骤5︰记录事件
《指引》亦指出,如资料外洩事故相当可能对受影响资料当事人有构成实质损害的风险,机构应在知道发生资料外洩后在切实可行的情况下尽快通知私隐专员公署及受影响人士。
另外,
私隐专员公署已推出网上资料外洩事故通报表格(按此)。网上表格以引导式问题及多项选择题,帮助机构更全面及更有效地掌握资料外洩事故详情,并可更便捷地向私隐专员公署通报资料外洩事故。
请
按此下载《资料外洩事故的处理及通报指引》。