日期: 2023年9月22日
私隱專員公署建議機構加強資料保安措施 確保數據安全
個人資料私隱專員公署(私隱專員公署)留意到近日接連有機構資訊系統被黑客入侵,導致個人資料外洩事故發生。私隱專員公署對事件非常關注,譴責非法網絡攻擊行為,並提醒所有機構,不論公私營機構,必須遵守《個人資料(私隱)條例》(《私隱條例》)下的相關規定,包括《私隱條例》保障資料第4原則,即資料使用者須採取所有切實可行的步驟,以確保由資料使用者持有的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。
私隱專員公署建議持有個人資料的機構應定期進行資料保安風險評估,並根據資料處理活動的性質、規模和複雜性,以及風險評估的結果,採取足夠及有效的保安措施,以保護其控制或所持有的個人資料和資訊及通訊系統。
公署提醒所有機構應防患未然,增強對網絡安全的意識,審視數據保安系統,並適時採取以下資料保安措施,以加強數據安全,防範資訊系統受到惡意攻擊:
-
保護電腦網絡:使用保安裝置或軟件(例如防火牆及/或反惡意軟件應用程式)以保護電腦網絡,並定期更新軟件(包括電話應用程或及反惡意軟件應用程式)來偵測新病毒及威脅;
-
定期對資訊及通訊系統進行保安漏洞評估及滲透測試,尤其與互聯網連接的系統;
-
實施修補程式的管理,以適時修補保安漏洞;
-
加密傳輸中和存儲中的資料,有效地管理和保護加密密鑰;
-
管理資料庫:利用防火牆將資料伺服器與網絡伺服器分開;
-
採用「最小權限」的原則,授予用戶盡可能少的存取權限以完成工作,並將適當的角色分配給用戶(包括限制存取資料的數量和時間);及
-
適時地銷毀不必要的或過期的個人資料。
為加強資料保安系統,私隱專員公署已於2022年8月刊發《資訊及通訊科技的保安措施指引》,為資料使用者提供一些切實可行的建議資料保安措施,詳情請參閱:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/guidance_datasecurity_c.pdf
同時,私隱專員公署為中小型企業設立諮詢熱線及專用電郵地址(電話:2110 1155、電郵:sme@pcpd.org.hk),為中小型企業提供更便捷的渠道,就如何遵從條例的規定作出查詢。為加強宣傳教育,公署不時為公眾及機構安排講座,講解保障個人資料私隱的重要性,有意舉辦企業內部講座的機構可與公署聯絡(電郵:inhouse_seminar@pcpd.org.hk)。
私隱專員公署呼籲機構如發生資料外洩事故,應在切實可行的情況下盡快向公署作出通報。通報資料外洩事故有利於公署幫助相關機構及受影響人士採取適當和及時的措施,減低資料外洩事故對機構及受影響人士的損害。機構亦應盡快就資料外洩事故通知受影響人士。
為協助機構作出資料外洩通報,私隱專員公署亦於今年6月更新《資料外洩事故的處理及通報指引》,就制定資料外洩應變計劃及處理資料外洩的相關步驟向機構提供指引。有關指引可於以下網站下載:
https://www.pcpd.org.hk//tc_chi/resources_centre/publications/files/guidance_note_dbn_c.pdf
-完-