立法会六题：保障个人资料私隐

以下是今日（五月二十九日）在立法会会议上葛珮帆议员的提问和创新科技及工业局局长孙东教授的答覆：

问题：

有意见认为，近年多个政府部门及公私营机构发生个人资料外泄或黑客入侵事故，反映社会普遍对保障个人资料及确保网络安全的意识较低。就此，政府可否告知本会：

（一）会否责成各政府部门的首长及资讯科技保安主管对其部门电脑系统的保安工作问责，并对涉及人为疏忽或违规的人员作出纪律处分；

（二）鉴于香港个人资料私隐专员公署（公署）于本年二月向本会政制事务委员会提交的文件表示，公署正与政府全面审视《个人资料（私隐）条例》及拟订具体的修例建议，包括设立强制性个人资料外泄通报机制，有关工作的最新进展和具体时间表为何；会否在该条例下加入行政罚款等机制，并加强相关教育及推广工作，以提高整体社会对网络及资讯安全的意识；及

（三）会否研究在所有政府资讯科技项目中引入隐私数据评估和审计，以确保有关系统不会向公众披露过多和不必要的个人数据？

答覆：

主席：

资讯及网络安全是数字政府的基石。所有决策局和部门（局／部门）均有责任保障其资讯科技系统及数据的第一层安全，并遵循政府资讯科技总监办公室（资科办）发布的《政府资讯科技保安政策及指引》（《政策及指引》），落实有效的资讯保安系统管理架构及措施。

最近涉及个别政府部门和公营机构的个人资料外泄事故，反映各局／部门以至社会各界必须时刻提防资讯及网络保安风险，增加安全意识，并加强资讯系统和数据的防护。

就问题的三个部分，在谘询政制及内地事务局后，我现回覆如下：

（一）在现行的《政策及指引》下，各局／部门直接负责其资讯科技项目的推行和保安，主要责任范围包括：

（i）遵照《政策及指引》中有关资讯保安的风险管理制度、技术要求和参考标准；

（ii）监督其资讯科技系统的推行情况，并确保相关人员遵行《政策及指引》；

（iii）须定期为其资讯科技基础设施、资讯系统及数据资产进行保安风险评估及审计；

（iv）在发生资讯保安事故时，局／部门须向政府资讯保安事故应变办事处通报，及视乎事故性质通报个人资料私隐专员公署（公署）及／或警方；及

（v）政府人员须严格遵守其他适用的法规，包括《保安规例》、《官方机密条例》及《公务员守则》等。

由此可见，各局／部门肩负第一防线的责任，确保其辖下的资讯科技系统保安。如发现其人员或合约承办商涉嫌违规或违法行为，各局／部门首长会按既定的程序处理。

为进一步加强各局／部门对政府资讯科技项目的主要监督角色，资科办正积极研究措施，提供适切指引和技术支援，例如要求局／部门指明高级人员直接督导资讯系统保安风险评估及审计工作，以及加强网络风险检测、抽查和遵行审计等。我们会尽快推行相关措施。

（二）根据政制及内地事务局提供的资料，公署正全面审视《个人资料（私隐）条例》及拟订具体的修例建议，包括设立强制性个人资料外泄通报机制、要求资料使用者制订个人资料保留时限政策、赋权个人资料私隐专员判处行政罚款、直接规管资料处理者，以及厘清个人资料的定义等。公署正详细研究其他司法管辖区的相关法例，同时考虑香港的实际情况，以便拟订切实可行的修例建议，以配合国际私隐保障的发展及加强个人资料私隐的保障。待具体修例建议敲定后，公署会征询政府及立法会的意见，再按实际情况制定具体的修订法例时间表。

此外，公署积极透过多方面的宣传及教育工作，以推广及提升个人资料保障的意识，包括推出数据安全专题网页和设立数据安全热线，协助企业提升其保障数据安全的措施；举办及参与不同讲座及会议，讲解网络安全及数据安全措施；以及推出「关注私隐周2024」重点推广活动，以「数据安全保私隐」为主题，协助公众和机构提升保护个人资料的能力。

（三）现时《政策及指引》已要求各局／部门须在资讯系统设计阶段、推出可能涉及重大影响的更新前进行私隐影响评估，及早识别和处理资讯系统的潜在私隐问题，以缓减私隐风险。因应资讯及网络安全的最新形势，资科办正研究措施，要求各局／部门委任高级人员密切监督私隐影响评估的进行，亦会引入日常检测、网络安全攻防演练、加强员工培训及与持份者更紧密协作，提升政府资讯系统及网络安全的监察和防御能力，以期更有效保障资讯系统及数据安全。

- 完 -