Skip to content

報章專欄

媒體報道

個人資料私隱專員在「香港律師」的文章
保障數據安全 刻不容緩(2023年12月)

在數碼轉型時代,企業和機構的運作方式已徹底改變。企業可以透過利用數據及各種新興科技,例如生成式人工智能、物聯網、雲端運算和區塊鏈等,提高效率、生產力,促進資訊互聯互通。從網上購物到建立中央醫療資料庫,由電子學習到實時交通數據,數碼化的影響無遠弗屆,在推動創新、重塑客戶體驗、提升各行各業營運效率方面皆發揮著重要作用。

然而,數碼熱潮亦帶來嶄新的挑戰。隨著世界越趨數碼化,勒索軟件、網絡釣魚和惡意軟件攻擊等網絡安全威脅亦日益普遍。網絡安全與保障個人資料私隱是相輔相成的;網絡攻擊與日俱增,意味著個人資料外洩的風險也隨之增加。

網絡安全現暗湧

事實上,數據安全的威脅已醞釀了一段時間,更有升級的跡象。放眼國際,網絡攻擊的頻率和複雜程度均顯著增加。根據網絡安全公司Check Point於2023年8月發表的《2023年中期網絡安全報告》,全球每周發生網絡攻擊的平均次數在今年第二季激增8%,是近兩年內最大的季度增幅。網絡攻擊導致的資料外洩事件亦越來越頻繁,跨國公司、外國政府甚至網絡安全公司均在今年内先後成為網絡攻擊的受害者,導致大量健康資料、就業資料、線上帳戶憑證等敏感個人資料遭外洩。

至於香港,截至2023年10月,個人資料私隱專員公署(私隱專員公署)接獲超過110宗資料外洩事件的報告。2023年下半年,多個公營機構接連遭受勒索軟件攻擊,引起市民關注公營機構所持有資料的安全。根據本地網絡安全公司Green Radar (Hong Kong) Limited的一項研究,網絡釣魚電郵攻擊在2023年增加約86%;亦有人指出,ChatGPT等人工智能科技能用於創建網絡釣魚內容,令問題進一步惡化。

網絡攻擊的可怕後果

網絡攻擊形式千變萬化,每種攻擊均有可能對企業(作為資料使用者)和個人(作為資料當事人)造成嚴重後果。其中,網絡釣魚攻擊(即指透過詐騙連結或網站誘騙個人洩露帳戶資訊)、惡意軟件,以及勒索軟件攻擊(即指黑客先加密受害者的電腦檔案,然後要求支付贖金以換取解密鑰匙),是三種最常見的網絡攻擊形式。

網絡攻擊可以帶來災難性影響。對企業而言,網絡攻擊或會干擾其正常營運,導致財務損失、名聲和商譽受損,甚至令企業喪失潛在商機、市值下跌。譬如澳洲醫療保險公司Medibank在2022年遭受網絡攻擊,發生重大資料外洩事故,造成公司股價暴跌,市值於一日之內蒸發18億澳元。

此外,網絡攻擊或會導致個人資料被盜用,不法之徒更可能將有關資料放上暗網出售,或會令受害者遭受更多針對性的惡意網絡攻擊、身份被盜用、遭濫發直接促銷或垃圾郵件訊息,造成種種的煩擾和損失。

網絡攻擊的威脅及其帶來的顯著破壞,令數據安全成為全城關注的議題。

細看本港情況

香港《個人資料(私隱)條例》(第486章)(《私隱條例》)附表1的保障資料第4(1)原則要求資料使用者須採取所有切實可行的步驟,以確保由資料使用者持有的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,尤其須考慮:

  1. 該資料的種類及如該等事情發生便能做成的損害;
  2. 儲存該資料的地點;
  3. 儲存該資料的設備所包含(不論是藉自動化方法或其他方法)的保安措施;
  4. 為確保能查閱該資料的人的良好操守、審慎態度及辦事能力而採取的措施;及
  5. 為確保在保安良好的情況下傳送該資料而採取的措施。

因此,資料使用者(不論獨自或聯同其他人或與其他人共同控制該資料的收集、持有、處理或使用個人資料)均有責任合理地採取所有切實可行的措施,以保障個人資料的安全。

為進一步了解香港企業在應對網絡保安威脅方面是否準備就緒以及對私隱相關議題的認知度,私隱專員公署今年委託了香港生產力促進局進行「2023香港企業網絡保安準備指數及私隱認知度」調查。

調查於2023年9月訪問了378間企業,當中包括大型企業和中小企,涵蓋六個行業,即 (i) 金融服務;(ii) 零售和旅遊相關;(iii) 製造、貿易和物流;(iv) 資訊和通訊技術;(v) 專業服務及 (vi) 非牟利機構、學校和其他。

調查結果發現,香港企業的網絡保安準備指數錄得整體下降的趨勢,由2022年的53.3點分(最高100點)下降至2023年的47.0點,是自2018年指數推出以來的最大跌幅。更令人擔憂的是,近四分之三(73%)的受訪企業在過去12個月內曾遇到最少一類網絡安全攻擊,達至歷來新高。這些攻擊包括網路釣魚攻擊、惡意軟件、勒索軟件攻擊或其他形式的攻擊。

私隱認知度專題調查則探討了受訪企業在保障個人資料私隱方面的認知及所採取的措施、遵守《私隱條例》的難處,以及對新興科技(如生成式人工智能、數據分析和工作流程自動化以及區塊鏈相關技術)的使用及企業認為該科技涉及的風險程度。

值得注意的是,64%的受訪大企已計劃實施、正在實施或已全面實施由公署提倡的個人資料私隱管理系統,把保障個人資料納入企業數據管治責任的一環。另一方面,實施個人資料私隱管理系統的中小企只有45%。

調查亦顯示21%的受訪大企和46%的中小企並沒有實施任何私隱和資料安全保護措施,例如制訂處理個人資料的內部政策、制定個人資料外洩通報機制,或為員工提供有關個人資料私隱及《私隱條例》的培訓等,情況令人擔憂。

由此可見,香港企業的網絡安全準備程度及私隱認知度顯然有改進的空間。

積極採取保障私隱和數據安全措施

所謂「預防勝於治療」,有見近期網絡安全事件頻生,企業必須提高警覺,積極採取保障數據安全的措施,以應對未來攻擊。

為加強企業的數據管治,我們鼓勵企業建立自己的個人資料私隱管理系統,以確保機構能由上而下貫徹地執行有關保障個人資料的政策,妥善收集、持有、處理和使用個人資料。

在數據安全方面,除了採取嚴謹的資訊科技保安措施外,我們建議企業定期進行系統風險評估和滲透測試,以識別現存或新出現的威脅,並透過實施修補程式的管理,及時修補保安漏洞。此外,企業應確保其私隱政策和實務符合《私隱條例》的規定,並在推出新項目、產品或服務之前進行私隱影響評估,以便及早發現和應對潛在的私隱風險。

值得注意的是,人為錯誤是個人資料外洩的常見原因之一。因此,企業應向員工持續提供培訓和演習,推廣保障數據安全的良好行事方式,以降低資料外洩的風險。企業亦可任命一名個人資料保障主任,以確保企業遵守所有相關的法律要求和內部的風險管控要求。

最後,為妥善應對突發的個人資料外洩事故,制定全面的個人資料外洩事故應變計劃(包括內部和外部的事故通報機制、風險評估和調查程序等)亦非常重要。個人資料外洩事故應變計劃能幫助企業大幅減少及遏止事故的影響,復原外洩的數據,和防止類似事件在未來再次發生。

與企業同行 齊保障數據安全

為協助企業保障數據安全,私隱專員公署多年來致力提供各種指引予業界參考。

舉例而言,公署於2021年發佈《開發及使用人工智能道德標準指引》,旨在促進人工智能在香港健康發展及應用。公署亦於2022年發佈《資訊及通訊科技的保安措施指引》,為企業提供有關保障數據安全和應對網絡威脅的建議,並於2023年發佈《資料外洩事故的處理及通報指引》,幫助企業妥善處理資料外洩事故。

數據安全是公署的工作重點之一。公署近期推出了「數據安全」專題網頁、「數據安全」熱線,以及方便企業進行自我評估的「數據安全快測」。

「數據安全」專題網頁為企業提供一站式有關資料保安的資訊,包括保安提示、最新數據安全消息、資料外洩事故通報的統計數字及資料、《私隱條例》的相關規定、案例及教育資訊等。

另外,「數據安全快測」是一個自我評估工具,讓企業可於公署的「數據安全」專題網頁就其資訊及通訊科技系統的資料保安措施是否足夠進行快捷方便的自我評估。企業可因應評估結果獲取相關建議,幫助他們加強數據安全和妥善遵守《私隱條例》的有關要求。我深信,這些實用又方便的資源可以協助企業加強防範網絡攻擊的能力。

團結一致 攜手前行

我們受益於數碼時代,同時亦必須對隨之而來的網絡安全威脅保持警惕。不論規模和行業,企業都應該積極採取行動,保障數據安全。這不僅有助保障個人資料私隱,亦有利於企業與客戶或持份者之間建立信任,有助企業長遠的發展與成功。

正如班傑明•富蘭克林所言:「沒有做好準備,就是準備好要失敗」。讓我們共同努力,在Web 3.0時代打造安全可靠的科技生態環境,為建設數字經濟和數字香港帶來新動能。

請瀏覽個人資料私隱專員公署網站(https://www.pcpd.org.hk/index.html)查閱「香港企業網絡保安準備指數及私隱認知度調查」報告、上述各指引及「數據安全快測」。