Skip to content

报章专栏

媒体报道

个人资料私隐专员在「香港律师」的文章
《数码时代的个人资料保障》(2022年10月)

随着数码化的蓬勃发展,网络攻击已成为大多数企业(尤其是提供线上服务和产品的企业)所面临的主要风险之一。网络攻击可以导致财务损失、声誉受损、监管处罚和其他损害。无论规模大小,机构均可能随时受到黑客的攻击。

举例而言,国泰航空有限公司(国泰航空)在2018年10月发生的资料外洩事故记忆犹新,当中涉及外部人士未获授权查阅国泰航空的伺服器,影响全球约940万名乘客。该事故不仅损害了国泰航空多年来建立的商誉,亦导致重大的财务损失。当时个人资料私隐专员公署(私隐公署)曾展开调查,并认为国泰航空违反了《个人资料(私隐)条例》(第486章)(《私隐条例》)的规定。此外,国泰航空亦在2020年被英国资讯专员办公室罚款50万英镑,并在2021年支付155万加元以就加拿大一宗集体诉讼达成和解。

网络攻击事故的上升趋势

事实上,当国泰航空事故被广泛报导时,已经响起了警号。近年来,个人资料在互联网上外洩已成为用户所面对的前所未有的风险,而资料外洩的宗数亦不断上升。Sophos Labs的一项年度全球研究访问了31个国家/地区中型机构的5,600名资讯科技专业人员,结果显示勒索软件攻击持续增加,并且变得更加复杂。该研究亦显示,在2021年全球66%的机构曾遭受勒索软件攻击,较2020年高出了29%。

从私隐公署处理的资料外洩事故中,也观察到类似的趋势。在2019年和2020年,涉及勒索软件攻击的网络攻击事故,约佔接报的资料外洩事故的四分之一。这个比例去年上升至29%,而超过60万名香港市民亦受到各种网络保安事故影响。

资料外洩的常见原因

资料外洩可能由技术漏洞或人为疏忽造成。本文将重点关注技术风险,其中用户使用低强度密码、网络钓鱼、未修补漏洞、过时的操作系统和软件应用程式以及植入的恶意软件,是资料外洩事故的一些常见原因。

从私隐公署处理的事故中,我们注意到网络钓鱼和未修补的漏洞是资料外洩两个最常见的原因。我们在这方面的观察与香港电脑保安事故协调中心最近公布的2021年报的统计数据一致。该报告指出,网络钓鱼(佔整体案例48%)是该中心2021年处理的保安事故的主要原因。

公署近年来进行的两次调查,也反映了这个现象。在国泰航空的案例中,我们认为,造成资料外洩事故的因素之一,是国泰航空未能识别广为人知的资讯保安漏洞,并采取合理可行的措施来保障其伺服器的安全,令人可乘机入侵其伺服器。在另一宗有关传媒机构日经中国(香港)有限公司电邮系统遭入侵的案件中,私隐公署发现电邮系统受到攻击的原因之一,可能是相关用户密码因网络钓鱼攻击而外洩。

《私隐条例》的相关规定

《私隐条例》附表1的保障资料第4(1)原则规定资料使用者须采取所有切实可行的步骤,以确保由资料使用者持有的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,尤其须考虑:

  1. 该资料的种类及如该等事情发生便能做成的损害;
  2. 储存该资料的地点;
  3. 储存该资料的设备所包含(不论是借自动化方法或其他方法)的保安措施;
  4. 为确保能查阅该资料的人的良好操守、审慎态度及办事能力而采取的措施;及
  5. 为确保在保安良好的情况下传送该资料而采取的措施。

值得注意的是,保障资料第4(1)原则规定资料使用者有责任采取所有切实可行的步骤保障个人资料安全。资料使用者是否被视为已采取所有合理可行的步骤,将按个别情况进行审视。

私隐公署的资料保安措施指引

在此背景下,加上资料保安受关注的程度日渐提升,我们希望为香港的资料使用者提供一些切实可行的资料保安建议,以助他们理解和遵从《私隐条例》的相关规定。因此,私隐公署最近公布了《资讯及通讯科技的保安措施指引》(《指引》)。

《指引》就以下六个关键领域提供了建议:

资料管治和机构性措施

《指引》建议资料使用者制订明确针对资料管治和资料保安的政策和程序,涵盖个别员工在维护资讯及通讯系统的角色和责任、资料保安风险评估、外判资料处理及资料保安工作等范畴。在人手调配方面,《指引》建议资料使用者应委任合适的领导人员(例如首席资讯主任、首席私隐主任或同等人员)负责个人资料保安。工作人员应在入职时及往后定期接受足够的培训,以确保他们熟悉《私隐条例》的规定,以及资料使用者的资料保安政策及程序。

风险评估

资料使用者应在启用新系统和新应用程式前,以及在启用后定期根据既定的政策和程序进行资料保安风险评估。缺乏相关专业知识的中小企应考虑聘用第三方专家,以进行安全风险评估。风险评估的结果应定期向高级管理层汇报,而在风险评估中发现的保安风险应及时处理。

技术上及操作上的保安措施

《指引》建议资料使用者应根据资讯及通讯科技和资料处理活动的性质、规模、复杂性,以及风险评估的结果,采取足够及有效的保安措施,以保护其控制或所持有的个人资料和资讯及通讯系统。《指引》为资料使用者建议了一系列技术上及操作上的保安措施,包括保护电脑网络、资料库管理、存取管控、资料匿名化和加密等。

资料处理者的管理

将处理个人资料的工作外判予承办商的做法日益普遍。当中资料处理者的例子包括云端服务和资料分析服务的供应商。根据《私隐条例》,资料使用者有责任采取合约规范方法或其他方法,保障转移予资料处理者的个人资料的安全,《指引》就资料使用者在聘用资料处理者时可采取的措施提供了一系列的建议。

资料保安事故发生后的补救措施

资料使用者在资料保安事故发生后采取及时和有效的补救措施,将减低个人资料被未获准许的或意外的查阅、处理或使用的风险,从而减轻对受影响人士可能造成的伤害。《指引》就资料使用者在发生资料保安事故时可采取的补救措施提供了一些常见例子。

监察、评估及改善

资料使用者可委派独立的专责小组(例如内部或外部审计团队)负责定期监察资料保安政策的遵从情况,以及定期评估资料保安措施的成效。《指引》建议,如发现违反政策的行为或保安措施成效不彰,应采取改善行动。

鑑于网络攻击的手段、形式和复杂程度快速演变,且社会对个人资料私隐的期望越来越高,资料保安将会是未来几年的焦点。事实上,稳健的资料保安系统是良好资料管治的核心元素。我希望《指引》能帮助香港的机构和企业,尤其是中小企,加强资料保安系统,从而减低资料保安风险,并提升他们在数码时代的竞争优势。

《指引》辅以个案分析及图表说明,除备有印刷本外,亦可在以下网址下载: https://www.pcpd.org.hk/chinese/resources_centre/publications/files/guidance_datasecurity_c.pdf