日期: 2023年9月22日
私隐专员公署建议机构加强资料保安措施 确保数据安全
个人资料私隐专员公署(私隐专员公署)留意到近日接连有机构资讯系统被黑客入侵,导致个人资料外洩事故发生。私隐专员公署对事件非常关注,谴责非法网络攻击行为,并提醒所有机构,不论公私营机构,必须遵守《个人资料(私隐)条例》(《私隐条例》)下的相关规定,包括《私隐条例》保障资料第4原则,即资料使用者须采取所有切实可行的步骤,以确保由资料使用者持有的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响。
私隐专员公署建议持有个人资料的机构应定期进行资料保安风险评估,并根据资料处理活动的性质、规模和复杂性,以及风险评估的结果,采取足够及有效的保安措施,以保护其控制或所持有的个人资料和资讯及通讯系统。
公署提醒所有机构应防患未然,增强对网络安全的意识,审视数据保安系统,并适时采取以下资料保安措施,以加强数据安全,防范资讯系统受到恶意攻击:
-
保护电脑网络:使用保安装置或软件(例如防火墙及/或反恶意软件应用程式)以保护电脑网络,并定期更新软件(包括电话应用程或及反恶意软件应用程式)来侦测新病毒及威胁;
-
定期对资讯及通讯系统进行保安漏洞评估及渗透测试,尤其与互联网连接的系统;
-
实施修补程式的管理,以适时修补保安漏洞;
-
加密传输中和存储中的资料,有效地管理和保护加密密钥;
-
管理资料库:利用防火墙将资料伺服器与网络伺服器分开;
-
采用「最小权限」的原则,授予用户尽可能少的存取权限以完成工作,并将适当的角色分配给用户(包括限制存取资料的数量和时间);及
-
适时地销毁不必要的或过期的个人资料。
为加强资料保安系统,私隐专员公署已于2022年8月刊发《资讯及通讯科技的保安措施指引》,为资料使用者提供一些切实可行的建议资料保安措施,详情请参阅:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/guidance_datasecurity_c.pdf
同时,私隐专员公署为中小型企业设立谘询热线及专用电邮地址(电话:2110 1155、电邮:sme@pcpd.org.hk),为中小型企业提供更便捷的渠道,就如何遵从条例的规定作出查询。为加强宣传教育,公署不时为公众及机构安排讲座,讲解保障个人资料私隐的重要性,有意举办企业内部讲座的机构可与公署联络(电邮:inhouse_seminar@pcpd.org.hk)。
私隐专员公署呼吁机构如发生资料外洩事故,应在切实可行的情况下尽快向公署作出通报。通报资料外洩事故有利于公署帮助相关机构及受影响人士采取适当和及时的措施,减低资料外洩事故对机构及受影响人士的损害。机构亦应尽快就资料外洩事故通知受影响人士。
为协助机构作出资料外洩通报,私隐专员公署亦于今年6月更新《资料外洩事故的处理及通报指引》,就制定资料外洩应变计划及处理资料外洩的相关步骤向机构提供指引。有关指引可于以下网站下载:
https://www.pcpd.org.hk//tc_chi/resources_centre/publications/files/guidance_note_dbn_c.pdf
-完-