在数码转型时代,企业和机构的运作方式已彻底改变。企业可以透过利用数据及各种新兴科技,例如生成式人工智能、物联网、云端运算和区块链等,提高效率、生产力,促进资讯互联互通。从网上购物到建立中央医疗资料库,由电子学习到实时交通数据,数码化的影响无远弗届,在推动创新、重塑客户体验、提升各行各业营运效率方面皆发挥着重要作用。
然而,数码热潮亦带来崭新的挑战。随着世界越趋数码化,勒索软件、网络钓鱼和恶意软件攻击等网络安全威胁亦日益普遍。网络安全与保障个人资料私隐是相辅相成的;网络攻击与日俱增,意味着个人资料外洩的风险也随之增加。
网络安全现暗湧
事实上,数据安全的威胁已酝酿了一段时间,更有升级的迹象。放眼国际,网络攻击的频率和复杂程度均显着增加。根据网络安全公司Check Point于2023年8月发表的《2023年中期网络安全报告》,全球每周发生网络攻击的平均次数在今年第二季激增8%,是近两年内最大的季度增幅。网络攻击导致的资料外洩事件亦越来越频繁,跨国公司、外国政府甚至网络安全公司均在今年内先后成为网络攻击的受害者,导致大量健康资料、就业资料、线上帐户凭证等敏感个人资料遭外洩。
至于香港,截至2023年10月,个人资料私隐专员公署(私隐专员公署)接获超过110宗资料外洩事件的报告。2023年下半年,多个公营机构接连遭受勒索软件攻击,引起市民关注公营机构所持有资料的安全。根据本地网络安全公司Green Radar (Hong Kong) Limited的一项研究,网络钓鱼电邮攻击在2023年增加约86%;亦有人指出,ChatGPT等人工智能科技能用于创建网络钓鱼内容,令问题进一步恶化。
网络攻击的可怕后果
网络攻击形式千变万化,每种攻击均有可能对企业(作为资料使用者)和个人(作为资料当事人)造成严重后果。其中,网络钓鱼攻击(即指透过诈骗连结或网站诱骗个人洩露帐户资讯)、恶意软件,以及勒索软件攻击(即指黑客先加密受害者的电脑档案,然后要求支付赎金以换取解密钥匙),是三种最常见的网络攻击形式。
网络攻击可以带来灾难性影响。对企业而言,网络攻击或会干扰其正常营运,导致财务损失、名声和商誉受损,甚至令企业丧失潜在商机、市值下跌。譬如澳洲医疗保险公司Medibank在2022年遭受网络攻击,发生重大资料外洩事故,造成公司股价暴跌,市值于一日之内蒸发18亿澳元。
此外,网络攻击或会导致个人资料被盗用,不法之徒更可能将有关资料放上暗网出售,或会令受害者遭受更多针对性的恶意网络攻击、身份被盗用、遭滥发直接促销或垃圾邮件讯息,造成种种的烦扰和损失。
网络攻击的威胁及其带来的显着破坏,令数据安全成为全城关注的议题。
细看本港情况
香港《个人资料(私隐)条例》(第486章)(《私隐条例》)附表1的保障资料第4(1)原则要求资料使用者须采取所有切实可行的步骤,以确保由资料使用者持有的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,尤其须考虑:
因此,资料使用者(不论独自或联同其他人或与其他人共同控制该资料的收集、持有、处理或使用个人资料)均有责任合理地采取所有切实可行的措施,以保障个人资料的安全。
为进一步了解香港企业在应对网络保安威胁方面是否准备就绪以及对私隐相关议题的认知度,私隐专员公署今年委讬了香港生产力促进局进行「2023香港企业网络保安准备指数及私隐认知度」调查。
调查于2023年9月访问了378间企业,当中包括大型企业和中小企,涵盖六个行业,即 (i) 金融服务;(ii) 零售和旅游相关;(iii) 制造、贸易和物流;(iv) 资讯和通讯技术;(v) 专业服务及 (vi) 非牟利机构、学校和其他。
调查结果发现,香港企业的网络保安准备指数录得整体下降的趋势,由2022年的53.3点分(最高100点)下降至2023年的47.0点,是自2018年指数推出以来的最大跌幅。更令人担忧的是,近四分之三(73%)的受访企业在过去12个月内曾遇到最少一类网络安全攻击,达至历来新高。这些攻击包括网路钓鱼攻击、恶意软件、勒索软件攻击或其他形式的攻击。
私隐认知度专题调查则探讨了受访企业在保障个人资料私隐方面的认知及所采取的措施、遵守《私隐条例》的难处,以及对新兴科技(如生成式人工智能、数据分析和工作流程自动化以及区块链相关技术)的使用及企业认为该科技涉及的风险程度。
值得注意的是,64%的受访大企已计划实施、正在实施或已全面实施由公署提倡的个人资料私隐管理系统,把保障个人资料纳入企业数据管治责任的一环。另一方面,实施个人资料私隐管理系统的中小企只有45%。
调查亦显示21%的受访大企和46%的中小企并没有实施任何私隐和资料安全保护措施,例如制订处理个人资料的内部政策、制定个人资料外洩通报机制,或为员工提供有关个人资料私隐及《私隐条例》的培训等,情况令人担忧。
由此可见,香港企业的网络安全准备程度及私隐认知度显然有改进的空间。
积极采取保障私隐和数据安全措施
所谓「预防胜于治疗」,有见近期网络安全事件频生,企业必须提高警觉,积极采取保障数据安全的措施,以应对未来攻击。
为加强企业的数据管治,我们鼓励企业建立自己的个人资料私隐管理系统,以确保机构能由上而下贯彻地执行有关保障个人资料的政策,妥善收集、持有、处理和使用个人资料。
在数据安全方面,除了采取严谨的资讯科技保安措施外,我们建议企业定期进行系统风险评估和渗透测试,以识别现存或新出现的威胁,并透过实施修补程式的管理,及时修补保安漏洞。此外,企业应确保其私隐政策和实务符合《私隐条例》的规定,并在推出新项目、产品或服务之前进行私隐影响评估,以便及早发现和应对潜在的私隐风险。
值得注意的是,人为错误是个人资料外洩的常见原因之一。因此,企业应向员工持续提供培训和演习,推广保障数据安全的良好行事方式,以降低资料外洩的风险。企业亦可任命一名个人资料保障主任,以确保企业遵守所有相关的法律要求和内部的风险管控要求。
最后,为妥善应对突发的个人资料外洩事故,制定全面的个人资料外洩事故应变计划(包括内部和外部的事故通报机制、风险评估和调查程序等)亦非常重要。个人资料外洩事故应变计划能帮助企业大幅减少及遏止事故的影响,复原外洩的数据,和防止类似事件在未来再次发生。
与企业同行 齐保障数据安全
为协助企业保障数据安全,私隐专员公署多年来致力提供各种指引予业界参考。
举例而言,公署于2021年发布《开发及使用人工智能道德标准指引》,旨在促进人工智能在香港健康发展及应用。公署亦于2022年发布《资讯及通讯科技的保安措施指引》,为企业提供有关保障数据安全和应对网络威胁的建议,并于2023年发布《资料外洩事故的处理及通报指引》,帮助企业妥善处理资料外洩事故。
数据安全是公署的工作重点之一。公署近期推出了「数据安全」专题网页、「数据安全」热线,以及方便企业进行自我评估的「数据安全快测」。
「数据安全」专题网页为企业提供一站式有关资料保安的资讯,包括保安提示、最新数据安全消息、资料外洩事故通报的统计数字及资料、《私隐条例》的相关规定、案例及教育资讯等。
另外,「数据安全快测」是一个自我评估工具,让企业可于公署的「数据安全」专题网页就其资讯及通讯科技系统的资料保安措施是否足够进行快捷方便的自我评估。企业可因应评估结果获取相关建议,帮助他们加强数据安全和妥善遵守《私隐条例》的有关要求。我深信,这些实用又方便的资源可以协助企业加强防范网络攻击的能力。
团结一致 携手前行
我们受益于数码时代,同时亦必须对随之而来的网络安全威胁保持警惕。不论规模和行业,企业都应该积极采取行动,保障数据安全。这不仅有助保障个人资料私隐,亦有利于企业与客户或持份者之间建立信任,有助企业长远的发展与成功。
正如班杰明•富兰克林所言:「没有做好准备,就是准备好要失败」。让我们共同努力,在Web 3.0时代打造安全可靠的科技生态环境,为建设数字经济和数字香港带来新动能。
请浏览个人资料私隐专员公署网站(https://www.pcpd.org.hk/index.html)查阅「香港企业网络保安准备指数及私隐认知度调查」报告、上述各指引及「数据安全快测」。