資訊保安
數據安全
-
數據安全快測
-
- 數據安全快測是一個自我評估工具,讓公司及機構作爲資料使用者就其資訊及通訊科技系統的資料保安措施是否足夠進行快捷方便的自我評估。
- 數據安全快測共有12條問題, 大概需要15分鐘完成。點擊此處開始!
-
-
最新數據安全消息
-
- 香港電腦保安事故協調中心 — 香港保安觀察報告
- 香港電腦保安事故協調中心 — 保安博錄
- 資訊安全網 — 最新消息
- 網絡安全資訊共享夥伴計劃 — API 安全配置錯誤
- 香港電腦保安事故協調中心 — HKCERT發表年度資訊保安數據及預測 新一代釣魚攻擊真偽難辨 黑客挪用人工智能犯案將成新趨勢
- 香港警務處守網者 - WhatsApp帳戶遭騎劫及盜用提示
- 走進業界 - 私隱專員於會計師持續專業進修(CPD)嘉年華2024發表演講
- 走進校園 — 私隱專員公署代表於香港中文大學講授私隱與數據安全
- 走進社區 — 私隱專員接受媒體訪問 講解一宗資料外洩事故調查結果
- 私隱專員公署發表有關南華體育會資料外洩事故的調查結果及推出學校、非牟利機構及中小企「數據安全」套餐
- 向立法會作出報告 — 政制及內地事務局局長與私隱專員出席立法會政制事務委員會會議
- 私隱專員公署歡迎《行政長官2024年施政報告》
- 提升數據安全 — 私隱專員公署與HKIRC合作推出宣傳短片
- 提升網絡安全 — 私隱專員公署代表出席「狩網運動2024」頒獎禮
- 走進業界 — 私隱專員在2024董事研討會發表演講
- 共建國家網絡安全 — 私隱專員出席「2024年國家網絡安全宣傳周 — 香港分論壇」
-
-
資料外洩事故通報
-
甚麼是資料外洩事故?
資料外洩事故一般指資料使用者持有的個人資料懷疑或已經遭到外洩,令有關資料當事人的個人資料有被未獲准許的或意外的查閱、處理、刪除、遺失或使用的風險。資料外洩事故可構成違反香港法例第486章《個人資料(私隱)條例》(《私隱條例》)有關個人資料保安的保障資料第4原則。
作出資料外洩事故通報
資料外洩通報是資料使用者向資料外洩事故的相關人士,包括受影響資料當事人及監管機構如私隱專員公署作出的正式通知。一般來說,在知悉事故後,不論內部調查的進度如何,都應在切實可行的情況下盡快作出通報。
如要向私隱專員公署作出資料外洩事故通報,可瀏覽「資料外洩事故通報」網頁。
2023年資料外洩事故分類
資料外洩事故應變計劃
資料外洩事故應變計劃應臚列一旦發生資料外洩時機構的應對措施。一套全面的資料外洩事故應變計劃有助機構快速應對及有效管理資料外洩事故,這可大幅減少及遏止事故的影響。
資料外洩事故應變計劃的重要元素:
- 描述構成資料外洩的要素
- 內部事故通報程序︰向高級管理層、保障資料主任及 / 或 資料外洩事故專責應變小組作出通報
- 指明專責應變小組成員的角色及責任
- 專責應變小組各成員的聯絡詳情
- 風險評估工作流程︰評估事故對受影響資料當事人造成的損害
- 遏止策略︰遏止事故擴大及作出補救
- 通訊計劃︰決定是否及如何向受影響資料當事人、監管機構及 / 或其他相關人士作出通報
- 調查程序︰調查事故及向高級管理層作出匯報
- 保存紀錄的政策︰妥善記錄事故
- 事後檢討機制︰找出需要改善的範疇,以防事件再次發生
- 培訓或演習計劃︰確保所有相關職員能恰當地依從計劃,處理資料外洩事故
處理資料外洩事故步驟 1:立即收集重要資料步驟 2:遏止事件擴大步驟 3:評估事件可造成的損害故步驟 4:考慮作出資料外洩通報故步驟 5:記錄事故詳情可參閱《資料外洩事故的處理及通報指引》及小冊子。
資訊及通訊科技的資料保安建議措施
- 資料管治和機構性措施
- 風險評估
- 技術上及操作上的保安措施
- 資料處理者的管理
- 資料保安事故發生後的補救措施
- 監察、評估及改善
- 其他考慮
詳情可參閱《資訊及通訊科技的保安措施指引》及單張。
-
-
《私隱條例》的規定
-
有關資料保安的規定
《私隱條例》附表1的保障資料第4(1)原則規定資料使用者須採取所有切實可行的步驟,以確保其持有的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。尤其須考慮:- 該資料的種類及如該等事情發生便能造成的損害;
- 儲存該資料的地點;
- 儲存該資料的設備所包含(不論是藉自動化方法或其他方法)的保安措施;
- 為確保能查閱該資料的人的良好操守、審慎態度及辦事能力而採取的措施;及
- 為確保在保安良好的情況下傳送該資料而採取的措施。
根據《私隱條例》第2(1)條,「切實可行」是指「合理地切實可行」。在發生個人資料外洩的情況下,資料使用者有責任證明他們已採取所有合理地切實可行的步驟以保障個人資料的安全。至於何謂「合理地切實可行」的步驟,將視乎每個個案的案情而定。
其他相關規定
在保障資料第4原則對個人資料保安設下明確法律規定的同時,《私隱條例》的其他條文同樣關聯到資料保安。就「收集最少量資料」這一基本原則,保障資料第1(1)原則訂明,資料使用者只應為收集資料目的收集足夠但不超乎適度的資料。一般而言,資料使用者最初收集或保留的資料越少,日後的安全風險便越低。
在資料保存方面,保障資料第2(2)原則要求資料使用者採取「所有切實可行的步驟」,以確保個人資料的保存時間不超過將其保存以貫徹該資料被使用於或會被使用於的目的(包括任何直接有關的目的)所需的時間。《私隱條例》第26條亦要求資料使用者採取「所有切實可行步驟」刪除不再為使用目的而需要的個人資料(訂明的例外情況除外)。透過制訂資料保留政策來確保適時刪除不再需要的個人資料,將有助減低資料外洩風險。資料使用者持有的資料越少,受攻擊或出現漏洞的風險便越低。
保障資料第2(3)及第4(2)原則要求資料使用者採取合約規範方法或其他方法,以確保他們聘用的資料處理者遵從資料保安和保存資料兩方面的類似規定。
-
-
相關個案
-
- 2024年
- 2023年
- 2022年
- 2021年
- 2020年
- 2019年
- 2018年
-
-
教育資訊
-
- 指引資料
- 單張/小冊子
- 海報
- 報告
- 文章
-
影片
- 私隱專員公署 x HKIRC 教育短片 - 首部曲「保護個人資料」
- 《個人資料(私隱)條例》下的 六項保障資料原則 — 第4原則 — 資料保安原則
- 「Web 3.0下的網絡安全及資料外洩事故處理」講座
- 「網絡世界中的數據安全管理 — 個人資料保安及事故應變實用貼士」 網上講座
- 「社交媒體私隱教與學」網上分享會
- 「社交媒體與你」網上講座(節錄)
-
演講簡報
- 會計師持續專業進修(CPD)嘉年華2024
- 2024年度法律從業員法律講座(只有英文)
- 2024董事研討會:「資料外洩事故和預防措施」(只有英文)
- 「2024年國家網絡安全宣傳周澳門分論壇 — 個人資料保護專場活動」
- 「數據安全及資料外洩處理措施」研討會(只有英文)
- 「資料外洩個案及數據安全措施分享」研討會
- 共建安全網絡2024「全城攜守 網安在手」網上研討會
- 香港美國商會聚會(只有英文)
- 「應對網絡安全威脅及資料外洩事故」講座
- 香港城市大學法律學院「在日益增加的網絡攻擊中保障數據安全」客座講座(只有英文版)
- 2023年強積金研討會(只有英文)
- 「安全使用WhatsApp及社交平台」講座
- 「防範網絡攻擊 提升數據安全」講座
- 良治同行2023周年大會「提升數據管治標準以應對資料外洩危機」 (只有英文)
- 香港國際電腦會議2023「AI引領新紀元: 開創社會與經濟新動力」 (只有英文)
- 共建安全網絡2023「守護數碼身分你要知」 研討會 (只有英文)
- 「Web 3.0下的網絡安全及資料外洩事故處理」講座
- 香港社會服務聯會資料科技資源中心「保護訊息資產 — 提升同工資訊保安意識」資訊保安工作坊
- 香港工業總會「網絡推廣的私隱風險與機遇」研討會 (只有英文)
- 方便營商諮詢委員會會議第四十九次會議
- 良治同行2022周年大會「管理私隱風險、採納最佳行事方式及未來路向」 (只有英文)
- 「網絡世界中的數據安全管理 — 個人資料保安及事故應變實用貼士」 網上講座
- 香港董事學會午餐會「董事需注意的數據私隱隱患和一些建議」演講 (只有英文)
- 「社交媒體私隱教與學」網上分享會
- 香港公司治理公會第23屆企業規管最新發展研討會 (只有英文)
- 香港大學「個人資料保障與資訊保安關注週2021」 (只有英文)
- 香港特許秘書公會第22屆企業規管最新發展研討會「企業管治專業的資料保障」 (只有英文)
- 香港工業總會「用得安心 — 正確使用通訊軟件及社交媒體」網絡研討會
-
-
資訊保安報道及活動
-
2024
- 走進業界 - 私隱專員於會計師持續專業進修(CPD)嘉年華2024發表演講
- 走進校園 — 私隱專員公署代表於香港中文大學講授私隱與數據安全
- 走進社區 — 私隱專員接受媒體訪問 講解一宗資料外洩事故調查結果
- 私隱專員公署發表有關南華體育會資料外洩事故的調查結果及推出學校、非牟利機構及中小企「數據安全」套餐
- 向立法會作出報告 — 政制及內地事務局局長與私隱專員出席立法會政制事務委員會會議
- 私隱專員公署歡迎《行政長官2024年施政報告》
- 提升數據安全 — 私隱專員公署與HKIRC合作推出宣傳短片
- 提升網絡安全 — 私隱專員公署代表出席「狩網運動2024」頒獎禮
- 走進業界 — 私隱專員在2024董事研討會發表演講
- 共建國家網絡安全 — 私隱專員出席「2024年國家網絡安全宣傳周 — 香港分論壇」
- 共建國家網絡安全 — 私隱專員在2024年國家網絡安全宣傳周澳門分論壇發表演講
- 走進業界 — 私隱專員公署與香港金融管理局及香港銀行公會合辦研討會
- 私隱專員發表資料外洩事故的調查結果(一)香港桂冠論壇委員會及(二)香港芭蕾舞團有限公司
- 提升數據安全 — 私隱專員公署再度舉辦「資料外洩個案及數據安全措施分享」研討會
- 提升網絡安全 — 私隱專員於「網絡安全論壇2024」作主題演講
- 提升網絡安全 — 私隱專員公署作為策略夥伴參與「狩網運動2024」
- 提升數據安全 — 私隱專員公署舉辦「資料外洩個案及數據安全措施分享」研討會
- 推廣數據安全 — 私隱專員於《工商月刊》發表題為《保障數據安全 提升企業競爭力》的文章
- 私隱專員公署呼籲使用雲端平台的用戶確保資訊安全
- 數據安全保私隱!私隱專員公署「關注私隱週2024」展開一連串推廣及教育活動
- 提升網絡安全 — 私隱專員公署代表於「全城攜守 網安在手」網上研討會發表演講
- 走進社區 — 私隱專員接受媒體訪問 講述有關消委會資料外洩事故的調查結果
- 私隱專員公署回應公司註冊處資料外洩事故
- 私隱專員公署發表有關消費者委員會資料外洩事故的調查結果
- 65歲男子涉嫌「起底」舊同事被私隱專員公署拘捕
- 22歲女子因感情糾紛涉嫌發布「起底」訊息 被私隱專員公署拘捕
- 在數碼世界中保障私隱 — 私隱專員於《香港律師》發表題為《安全使用智能手機和社交媒體刻不容緩》的文章
- 私隱專員公署發表有關數碼港資料外洩事故的調查報告
- 走進社區 — 私隱專員接受媒體訪問 講解私隱專員公署推出的兩份「懶人包」
- 32歲男子涉嫌「起底」一名女子 被私隱專員公署拘捕
- 私隱專員公署出版兩份「懶人包」 推動精明使用智能電話及社交媒體 保障個人資料私隱
- 說好香港故事 — 私隱專員在香港美國商會聚會發表演講
- 30歲男子涉嫌「起底」前友人 被私隱專員公署拘捕
- 提升數據安全 — 私隱專員公署與香港互聯網註冊管理有限公司合辦「應對網絡安全威脅及資料外洩事故」講座
- 私隱專員公署歡迎立法會通過《維護國家安全條例》
- 私隱專員公署回應南華體育會資料外洩事故
- 私隱專員公署主動視察香港中文大學卓越兒童健康研究所 新設立的兒童生物樣本庫
- 走進校園—私隱專員於城市大學講授保障數據安全
- 向立法會作出報告 — 私隱專員出席立法會政制事務委員會會議報告2023年工作
- 走進社區 — 私隱專員接受媒體訪問 講解公署數據安全的工作
- 私隱專員公署全力支持政府就《基本法》第23條展開公眾諮詢及立法
- 私隱專員公署回應香港大學教育學院資料外洩事故
- 走進社區 — 私隱專員接受媒體訪問
- 私隱專員公署發表2023年工作報告及《電子點餐的私隱關注》報告
- 走進社區 — 私隱專員接受香港電台第一台《自由風自由Phone》訪問
- 多個社交媒體及網上平台全球性資料外洩 私隱專員公署提醒平台用戶提高警惕
- 為確保信貸資料庫的數據安全 私隱專員公署完成對全港信貸資料服務機構的循規審查
- 私隱專員公署回應社會福利署資料外洩事故
2023- 走進社區 — 私隱專員接受媒體訪問 講解兩份調查報告
- 私隱專員公署發表兩份調查報告
- 推廣數據安全 — 私隱專員於《香港律師》發表題為《保障數據安全 刻不容緩》的文章
- 走進業界 — 私隱專員出席網絡安全技術論壇2023
- 走進金融界別 — 私隱專員於2023年強積金研討會上發表演講
- 加強市民防騙意識 — 私隱專員公署舉辦「安全使用WhatsApp及社交平台」講座
- 走進業界–私隱專員公署代表出席中港網絡安全協會成立暨就職典禮
- 走進社區 — 私隱專員接受香港電台第一台《千禧年代》訪問
- 2023年「香港企業網絡保安準備指數」錄得歷來最大跌幅 員工網絡保安意識仍需大幅改善
- 提升數據安全 — 私隱專員公署舉辦「防範網絡攻擊 提升數據安全」講座
- 走進業界 — 助理私隱專員於良治同行2023周年大會發表演講
- 私隱專員公署歡迎《行政長官2023年施政報告》
- 説好香港故事 — 私隱專員公署代表出席第45屆環球私隱議會
- 確保數據安全 私隱專員公署完成視察眾安銀行客戶個人資料系統
- 走進社區 — 私隱專員接受媒體訪問 講解WhatsApp帳戶遭騎劫及盜用
- 私隱專員公署呼籲市民及機構 慎防WhatsApp帳戶遭騎劫及盜用
- 走進業界 — 私隱專員於香港國際電腦會議2023上發表演講
- 推廣數據安全 — 私隱專員公署代表於共建安全網絡2023研討會中擔任嘉賓講者
- 私隱專員公署建議機構加強資料保安措施 確保數據安全
- 消費者委員會資料外洩事故 私隱專員公署回應傳媒查詢
- 私隱專員公署發表視察選舉事務處個人資料系統報告
- 私隱專員公署回應數碼港資料外洩事故
- 推廣數據安全 — 私隱專員於生產力局「智慧安全城市展館」展覽開幕典禮擔任研討會嘉賓講者
- 提升數據安全 — 私隱專員公署舉辦「Web 3.0下的網絡安全及資料外洩事故處理」講座
- 確保數據安全 私隱專員公署發出新《資料外洩事故的處理及通報指引》
- 推出新網上資料外洩事故通報表格
- 說好香港故事 — 私隱專員公署代表出席「第五十九屆亞太區私隱機構論壇」
- 為確保信貸資料庫的數據安全 私隱專員公署主動對全港信貸資料服務機構進行循規審查
- 私隱專員公署發表兩份報告
- 走進業界 — 私隱專員公署資訊科技主任出席資訊保安工作坊發表講話
- 走進業界 — 合規總監出席香港工業總會「網絡推廣的私隱風險與機遇」研討會
- 私隱專員公署發表2022年工作報告及一份調查報告
2022- 私隱專員公署就香港高登討論區外洩會員資料事件展開循規審查
- 選舉事務處兩宗個人資料外洩事故 私隱專員公署發表調查報告
- 私隱專員公署發表視察環聯個人資料系統報告
- 走進醫護界 — 私隱專員向醫管局新界西聯網醫護人員講解《個人資料(私隱)條例》的規定
- 說好香港故事 — 私隱專員出席「第五十八屆亞太區私隱機構論壇」
- 公署回應傳媒查詢有關WhatsApp用戶資料疑被披露及轉售
- 私隱專員接受香港電台第一台《星期六問責》訪問
- 私隱專員公署發表兩份調查報告
- 走進業界 — 私隱專員出席方便營商諮詢委員會會議
- 走進業界 — 助理私隱專員出席良治同行2022周年大會
- 加強國際聯繫 — 私隱專員出席第44屆環球私隱議會
- 私隱專員公署就香格里拉集團資料外洩事故展開循規審查
- 提升網絡安全 – 私隱專員公署舉辦網絡安全網上講座
- 走進業界 — 私隱專員出席香港公司治理公會「第13屆企業管治雙年會」
- 走進業界 – 合規總監出席資訊保安高峰會2022
- 私隱專員公署發出《資訊及通訊科技的保安措施指引》
- 走進業界 - 私隱專員在香港董事學會午餐會上發表講話
- 走進校園 — 私隱公署舉辦「社交媒體私隱教與學」網上分享會
- 公署回應傳媒查詢有關慶典統籌辦公室資料外洩事故
- 私隱公署發表兩份調查報告及新版本的物業管理界別指引
- 走進業界 - 私隱公署代表出席香港公司治理公會「第23屆企業規管最新發展研討會」
- 私隱公署公布《社交媒體私隱設定大檢閱》報告
- 私隱公署發表2021年工作報告及一份調查報告
- 私隱公署就本地酒店集團受網絡攻擊事件展開調查
- 私隱公署就在家工作安排建議9招保障個人資料
2021- 私隱公署接獲近50宗有關「填紙仔」投訴
- 走進校園 —— 香港大學「個人資料保障與資訊保安關注週2021」
- 私隱公署公布有關14間食肆對登記顧客資料的保障措施的調查報告
- 數碼營銷公司電腦系統遭勒索軟件攻擊 私隱專員展開調查
- 走進企業 - 香港生產力促進局
- 私隱公署發佈《開發及使用人工智能道德標準指引》及關於兩間公用事業客戶個人資料系統的視察報告
- 2021年「關注私隱週」:互聯網世代中保障私隱 私隱專員主講「社交媒體與你」網上講座
- 私隱專員於香港特許秘書公會第22屆企業規管最新發展研討會作出有關企業管治專業的資料保障的演講
- 私隱公署舉辦25週年誌慶活動 — 「社交媒體與你」網上講座 就保障個人資料私隱提供實用指引
- Facebook提供網上表格供用戶查詢有關資料疑遭外洩報導
- 私隱專員跟進Clubhouse用戶資料疑遭外洩
- 私隱專員跟進LinkedIn用戶資料疑被擷取及轉售
- 私隱公署為保障個人資料私隱 就使用社交媒體及即時通訊軟件發出實用指引
- 私隱專員就Facebook用戶資料疑遭外洩展開循規審查
- 私隱專員就日經電郵系統遭入侵事件展開循規審查
- 私隱公署設立有關「起底」查詢/投訴熱線 公布一項有關保障個人資料私隱的調查報告
-
-
有用連結
-
- 私隱專員公署的數據安全熱線:2110 1155
- 數字政策辦公室(即前政府資訊科技總監辦公室)
- 政府電腦保安事故協調中心
- 香港電腦保安事故協調中心
- 守網者
- 網絡安全員工培訓平台
- 2022年網絡安全年度報告 (只有英文)
- Palo Alto Networks 網址過濾 — 測試網站(只有英文)
- 香港應用科技研究院 — 網絡安全研究與培訓中心
-