隨著科技進步,網絡攻擊亦隨之加劇。個人資料私隱專員公署(私隱專員公署)於2023年上半年(截至6月29日)接獲55宗資料外洩事故的通報,與2022年下半年相比增加了超過20%。資料外洩事故不但影響所涉及的當事人,更會令機構聲譽受損及蒙受損失。有見及此,
私隱專員公署今日發出新版的《資料外洩事故的處理及通報指引》(《指引》),向機構提供實用的建議,協助它們作好準備,一旦發生資料外洩事故可以有效地應對,並遏止損害及傷害擴大。
個人資料私隱專員鍾麗玲表示︰「近年來資料外洩事故有上升趨勢,不同規模和行業的機構都可能遭受網絡攻擊、或因人為錯誤引致資料外洩。為確保數據安全,《指引》建議機構應制訂資料外洩事故應變計劃,以助機構快速應對及有效管理資料外洩事故。《指引》亦提供清晰的步驟,協助機構妥善處理及管理資料外洩事故,以減低事故對當事人的影響及對機構可能造成的損害。」
具體而言,《指引》建議機構在處理資料外洩事故時應採取下述重要步驟︰
-
步驟1︰立即收集重要資料
-
步驟2︰遏止事件擴大
-
步驟3︰評估事件可造成的損害
-
步驟4︰考慮作出資料外洩通報
-
步驟5︰記錄事件
《指引》亦指出,如資料外洩事故相當可能對受影響資料當事人有構成實質損害的風險,機構應在知道發生資料外洩後在切實可行的情況下盡快通知私隱專員公署及受影響人士。
另外,
私隱專員公署已推出網上資料外洩事故通報表格(按此)。網上表格以引導式問題及多項選擇題,幫助機構更全面及更有效地掌握資料外洩事故詳情,並可更便捷地向私隱專員公署通報資料外洩事故。
請
按此下載《資料外洩事故的處理及通報指引》。