立法會六題：保障個人資料私隱

以下是今日（五月二十九日）在立法會會議上葛珮帆議員的提問和創新科技及工業局局長孫東教授的答覆：

問題：

有意見認為，近年多個政府部門及公私營機構發生個人資料外泄或黑客入侵事故，反映社會普遍對保障個人資料及確保網絡安全的意識較低。就此，政府可否告知本會：

（一）會否責成各政府部門的首長及資訊科技保安主管對其部門電腦系統的保安工作問責，並對涉及人為疏忽或違規的人員作出紀律處分；

（二）鑑於香港個人資料私隱專員公署（公署）於本年二月向本會政制事務委員會提交的文件表示，公署正與政府全面審視《個人資料（私隱）條例》及擬訂具體的修例建議，包括設立強制性個人資料外泄通報機制，有關工作的最新進展和具體時間表為何；會否在該條例下加入行政罰款等機制，並加強相關教育及推廣工作，以提高整體社會對網絡及資訊安全的意識；及

（三）會否研究在所有政府資訊科技項目中引入隱私數據評估和審計，以確保有關系統不會向公眾披露過多和不必要的個人數據？

答覆：

主席：

資訊及網絡安全是數字政府的基石。所有決策局和部門（局／部門）均有責任保障其資訊科技系統及數據的第一層安全，並遵循政府資訊科技總監辦公室（資科辦）發布的《政府資訊科技保安政策及指引》（《政策及指引》），落實有效的資訊保安系統管理架構及措施。

最近涉及個別政府部門和公營機構的個人資料外洩事故，反映各局／部門以至社會各界必須時刻提防資訊及網絡保安風險，增加安全意識，並加強資訊系統和數據的防護。

就問題的三個部分，在諮詢政制及內地事務局後，我現回覆如下：

（一）在現行的《政策及指引》下，各局／部門直接負責其資訊科技項目的推行和保安，主要責任範圍包括：

（i）遵照《政策及指引》中有關資訊保安的風險管理制度、技術要求和參考標準；

（ii）監督其資訊科技系統的推行情況，並確保相關人員遵行《政策及指引》；

（iii）須定期為其資訊科技基礎設施、資訊系統及數據資產進行保安風險評估及審計；

（iv）在發生資訊保安事故時，局／部門須向政府資訊保安事故應變辦事處通報，及視乎事故性質通報個人資料私隱專員公署（公署）及／或警方；及

（v）政府人員須嚴格遵守其他適用的法規，包括《保安規例》、《官方機密條例》及《公務員守則》等。

由此可見，各局／部門肩負第一防線的責任，確保其轄下的資訊科技系統保安。如發現其人員或合約承辦商涉嫌違規或違法行為，各局／部門首長會按既定的程序處理。

為進一步加強各局／部門對政府資訊科技項目的主要監督角色，資科辦正積極研究措施，提供適切指引和技術支援，例如要求局／部門指明高級人員直接督導資訊系統保安風險評估及審計工作，以及加強網絡風險檢測、抽查和遵行審計等。我們會盡快推行相關措施。

（二）根據政制及內地事務局提供的資料，公署正全面審視《個人資料（私隱）條例》及擬訂具體的修例建議，包括設立強制性個人資料外洩通報機制、要求資料使用者制訂個人資料保留時限政策、賦權個人資料私隱專員判處行政罰款、直接規管資料處理者，以及釐清個人資料的定義等。公署正詳細研究其他司法管轄區的相關法例，同時考慮香港的實際情況，以便擬訂切實可行的修例建議，以配合國際私隱保障的發展及加強個人資料私隱的保障。待具體修例建議敲定後，公署會徵詢政府及立法會的意見，再按實際情況制定具體的修訂法例時間表。

此外，公署積極透過多方面的宣傳及教育工作，以推廣及提升個人資料保障的意識，包括推出數據安全專題網頁和設立數據安全熱線，協助企業提升其保障數據安全的措施；舉辦及參與不同講座及會議，講解網絡安全及數據安全措施；以及推出「關注私隱週2024」重點推廣活動，以「數據安全保私隱」為主題，協助公眾和機構提升保護個人資料的能力。

（三）現時《政策及指引》已要求各局／部門須在資訊系統設計階段、推出可能涉及重大影響的更新前進行私隱影響評估，及早識別和處理資訊系統的潛在私隱問題，以緩減私隱風險。因應資訊及網絡安全的最新形勢，資科辦正研究措施，要求各局／部門委任高級人員密切監督私隱影響評估的進行，亦會引入日常檢測、網絡安全攻防演練、加強員工培訓及與持份者更緊密協作，提升政府資訊系統及網絡安全的監察和防禦能力，以期更有效保障資訊系統及數據安全。

- 完 -