立法会九题:数据管治体系
************
问题:
关于数据管治体系,政府可否告知本会:
(一)鉴于最新一份《施政报告》提出,政府会于二○二三年内发布促进数据流通及保障数据安全的管理办法,「管理办法」的性质为何;鉴于有意见认为,数据流通及数据安全只是数据管治体系的其中两项要素,当局会否考虑制定整全的数据管治法规;如会,详情为何;如否,原因为何;
(二)鉴于最新一份《施政报告》提及,政府(i)于二○二三年六月与内地当局签订合作备忘录,以促进内地数据在粤港澳大湾区(大湾区)内跨境安全流动,以及(ii)现正与广东省当局商讨在大湾区以先行先试方式,简化内地个人数据流动到香港的合规安排,以便利大湾区内包括金融、医疗等跨境服务提供,当局有否计划以信息流带动大湾区内的人流、物流及资金流;如有,相关措施的具体计划和时间表为何;如否,原因为何;
(三)鉴于政府于二○二三年六月七日回覆本会议员质询时表示,政府不一定需要把所有数据集中放在一个平台,但会通过构建「授权数据交换闸」促进政府部门之间的数据互通,而政府目标于二○二四年年底前推出该交换闸,有关工作的最新进展为何;及
(四)当局在推动数据互通以促进创科和金融等行业的发展时(例如于二○二三年年底前将「授权数据交换闸」连接香港金融管理局的「商业数据通」),有何网络安全和数据安全的保障措施,以实现数据安全流动、有序共享的愿景?
答覆:
主席:
就简慧敏议员的提问,经谘询保安局、财经事务及库务局及香港金融管理局(金管局)后,我现答覆如下:
(一)数据治理包含多个元素,包括数据的整合、应用、开放、共享;数据安全;基础设施;产业规划;以及与不同的标准和监管框架的衔接等。政府一直以多轨并行的策略,从政策、法例和指引、配套设施等多方面,构建适合香港情况的数据治理体系。
数据流动及数据安全是推动及优化数据治理的重要元素。就此,《行政长官2023年施政报告》公布政府将发布关于促进数据流通及保障数据安全的管理办法,目的是为阐述我们就相关数据治理元素的管理理念和策略,循顶层设计、政策、指引、法规、基建配套、数据跨境流动等范畴,提出进一步推动数据互联互通及数据安全的行动纲领。我们将于今年年底前发布上述的管理办法。
(二)促进内地数据在粤港澳大湾区(大湾区)安全跨境流动,是推进粤港澳三地数字经济及智慧城市发展的重要举措。创新科技及工业局与国家互联网信息办公室于二○二三年六月签订的《促进粤港澳大湾区数据跨境流动的合作备忘录》(《备忘录》),让我们可以在国家数据跨境安全管理制度下,推动内地数据在大湾区内安全有序流通到香港,既能降低企业数据跨境流动的合规成本,亦能促进大湾区数字经济及科研发展,有助香港积极融入大湾区和国家发展大局,同时有利于香港建设成为国际数据港。
按《备忘录》订下的框架,政府资讯科技总监办公室(资科办)正与广东省网信办争取尽快落实以先行先试方式,简化内地个人信息流动到香港的合规安排。首阶段先行先试安排预计会先应用于金融、征信及医疗等有高需求的跨境服务上,从而促进区内相关跨境服务的提供,便民利商。我们会按第一轮先行先试的效果及实际情况,有序扩展便利措施至其他业界。
(三)资科办正构建「授权数据交换闸」,并将于二○二三年年底前率先推出连接金管局「商业数据通」功能,便利政府部门在金融机构获得企业客户授权下与其分享相关数据。资科办将于二○二四年年底前推出「授权数据交换闸」相关功能,让市民可授权政府部门分享其个人资料,方便市民使用电子政府服务。日后「智方便」平台的功能提升后,市民可经由「智方便」提供一次性授权,以便利用「授权数据交换闸」直接在应用程式内浏览其在不同政府服务内的相关个人资讯,亦可在申请其他政府服务时透过「智方便」的「填表通」功能自动输入个人资讯,省却重复输入或递交相同资料的需要,实现政府服务「一网通办」的目标。
(四)政府在促进数据共享及应用时,会从多层次保障数据安全,针对数据的管治、分类、评级、保护、审计、风险评估、监察和应变等。
例如「授权数据交换闸」本身不会储存任何相关的分享数据。局/部门之间所分享的数据只会储存于其系统内,而局/部门必须为其资讯系统及数据保安定期作出风险评估和审计,以维护政府系统及数据安全。在网络传送上,「授权数据交换闸」会以加密方式连接相关局/部门的系统及「商业数据通」。「授权数据交换闸」亦会采用资科办的「共用区块链平台」,确保市民的授权及局/部门之间的数据分享记录不能篡改。在构建「授权数据交换闸」过程中,资科办亦已谘询个人资料私隐专员公署,并已委聘独立第三方为「授权数据交换闸」系统进行保安风险评估和审计以及个人私隐影响评估,以确保符合《个人资料(私隐)条例》的规定。
另一方面,由金管局推出的「商业数据通」已设有相应守则,要求参与银行确保收集数据的范围和使用必须符合中小企作为数据拥有人所同意的目的。技术上,「商业数据通」以加密方式连接银行和数据提供方,系统本身不会储存任何商业数据,更设有一系列相应的资讯保安要求,以保障中小企的私隐和确保资料安全。同时,该平台有严谨的管治机制以保障客户。
面对不同行业的重要基础设施可能受到的保安风险,警务处辖下的重要基础设施保安协调中心和网络安全中心24小时运作。协调中心透过公私营机构合作、风险管理、现场保安检查等,加强重要基础设施的自我保护及复原能力;网络安全中心则适时进行网络威胁的审计及分析,以防止及侦查针对重要基础设施的网络攻击。
与此同时,政府会着力提升关键基础设施(包括能源、通讯、交通运输、金融机构等)网络安全的保护,包括建议制定法例,订定关键基础设施营运者的网络安全责任。政府正拟订立法建议,其后会谘询立法会保安事务委员会及相关持份者的意见。目标是于二○二四年内向立法会提交立法草案。
完
2023年11月15日(星期三)
香港时间14时30分
香港时间14时30分