立法会十五题:构建数码个人身分系统
*****************
问题:
政府将于二○二○年推出数码个人身分(eID)系统。陆续会有多达100项公共服务可透过该系统的生物认证(包括人脸识别、指纹鉴别、虹膜辨识及声纹辨识)技术为服务使用者作身分认证。另一方面,政府已于本年二月把提供构建、支援及维护eID系统的服务合约批予三家承办商,其中两家承办商的办公室设于深圳。就此,政府可否告知本会:
(一)在eID系统的招标活动中,价格及技术方面分别所占的评分比重为何;鉴于该系统涉及处理大量市民的个人资料,政府在技术评分中有否较为着重竞投者在资讯保安技术方面的能力及往绩;
(二)eID系统的服务合约的以下资料:
(i)该三家承办商的具体分工,以及八年半的合约期内各项工作的时间表、
(ii)有否规定所有开发、测试及维护工作均须在香港境内进行;若否,是否知悉有关工作会在哪些地方进行,以及
(iii)有否要求各承办商在该系统的不同阶段聘请独立顾问就系统的程式码进行资讯安全审核,以确保系统没有包含后门程式或保安漏洞;
(三)是否知悉,该三家承办商会否把有关工作分判;若会,(i)分判商是否在港注册公司及有何从事有关业务的往绩,以及(ii)有何措施确保市民的个人资料不会被传送至香港境外;
(四)eID系统在(a)开发期间及(b)投入服务后,分别处理或收集所得的人脸识别资料、其他生物认证资料,以及其他个人资料的以下资料:
(i)分别贮存各项资料的伺服器的所在位置(即政府数据中心、承办商的办公室还是其他地点,以及该等地点是否设在香港境内)、
(ii)会采用的数据加密标准、
(iii)有何资讯保安措施,防止数据在传输中途被截取或修改、
(iv)政府人员及承办商人员存取个人资料的权限,以及
(v)防止未经许可存取个人资料(包括订明开发及维护人员存取个人资料的权限)的保安机制;
(五)第(四)项所指的各项资料会否被用作其他用途;若会,
(i)哪些政府部门或公营机构会取用该等资料及其用途为何、
(ii)哪些工作人员有权存取有关资料、
(iii)取得该等资料的方式(例如获准登录eID系统或获提供资料备份),以及
(iv)有何措施确保政府部门或公营机构采取足够的资讯保安措施,防止数据在传输中途被截取或修改;及
(六)政府资讯科技总监办公室有否就发展eID系统(i)谘询个人资料私隐专员的意见,以及(ii)委聘独立第三方评估资讯保安风险及私隐影响;若有,详情为何,以及会否公开有关意见和评估报告?
答覆:
主席:
我就问题六个部分的答覆分别如下:
(一)资讯保安和保障个人资料私隐是数码个人身分(eID)系统标书的基本要求,包括数据存储、网络通讯、用户管控和应用系统的安全,以及符合《个人资料(私隐)条例》的规定以保障个人资料的保安措施。此外,配合支持创新的政府采购政策,技术评审在eID系统招标的评分制度中占60%,当中约7%与资讯保安有关。
(二)eID系统的承办商须在合约期的首18个月完成系统开发,随后七年为系统维护期。三家承办商的分工如下:
(i)平安科技(深圳)有限公司负责设计、构建和支援eID主体系统及人脸识别和影像处理系统;
(ii)扬科集团有限公司负责设计、构建和支援以入境事务处数据核实eID用户身分的系统;以及
(iii)雄帝科技股份有限公司负责设计、建造、供应、管理和支援自助登记服务站和作登记用的平板电脑。
按照标书规定,承办商必须派出主要人员(项目经理、系统架构师、系统分析员、云端运算专家等)在政府资讯科技总监办公室(资科办)指定的办公场地工作,以便资科办人员与承办商保持紧密沟通,适时解决工作上的问题和监察承办商的工作,如确认系统的详细设计及开发、整合和测试系统的进度,这是大型项目的一般工作安排。标书并没有硬性规定所有系统开发工作须在香港境内进行。我们得悉,上述(二)(i)的承办商将会在其深圳的设施场地进行有关程式编制的工序。资科办会详细检视所有承办商提交的程式,确保符合合约和政府资讯科技保安政策及指引的要求,才进行整合和测试系统的工作。
资科办会在系统设计、系统开发和测试,及系统营运期等不同阶段,聘用独立第三方进行个人私隐影响评估、私隐遵行审计和资讯保安风险评估及审计,包括原始码安全检测和渗透测试,以保障个人私隐和确保系统安全。
(三)按标书规定,承办商若会把工作分判,则须于其建议书中列明其分判商。上述(二)(i)承办商在其建议书中列明会把部分工作分判予两家分判商。两家分判商为承办商所属集团内的公司,具备处理图像和开发大型项目的技术和经验;其中一家在本地注册,另一家为深圳的公司。另外两家承办商并没有分判商。
资科办会按照政府资讯科技保安政策及指引和《个人资料(私隐)条例》的规定,落实有关保安要求以保障用户的个人资料及系统安全。具体措施包括:
(i)eID系统的个人资料会加密并储存于政府数据中心内的政府云端平台,有关资料不会被传送至香港境外;
(ii)承办商及其分判商在开发和维护eID系统时,只会使用测试数据,并不涉及个人资料,并且只能在开发及测试的系统环境中工作,因此不会接触到任何市民的个人资料;及
(iii)独立第三方会进行个人私隐影响评估、私隐遵行审计和资讯保安风险评估及审计。
(四)eID本身不会储存任何个人资料,用户登记eID时所提供的个人资料,只供资科办人员用作处理eID系统用户管理和核实身分的工作。这些资料将会以国际认可和通行的高级加密标准加密,并只会储存于政府数据中心设施。传输资料时亦会使用符合业界加密标准的传输层安全协议把资料加密,确保数据能安全和完整地在互联网上传送。
承办商及分判商在开发和维护eID系统时,不会接触到任何市民的个人资料。
eID系统的开发和营运将采用国际标准化组织(ISO)及国际电工委员会(IEC)所订立的资讯保安管理系统(ISO/IEC 27001)及措施,当中包括订定和严格执行各人员存取资料的权限,以防止未经许可存取个人资料。
(五)任何机构采用eID,都必须符合eID使用条款的资讯保安及相关技术要求,并只可采用资科办提供的应用程式介面及伺服器认证,而不会通过任何人员或任何其他途径连接到eID系统。资料在传输时亦会加密,以确保安全。
用户登记eID时所收集的个人资料,只供eID系统作用户管理和核实身分之用。任何政府部门或公营机构如需使用eID用户的个人资料(如预填表格),必须根据《个人资料(私隐)条例》的规定,先征得该用户的同意。
(六)资科办在二○一八年十月就eID系统的设计和营运谘询个人资料私隐专员公署的意见,并会在系统开发期间就不同事宜谘询其专业意见。资科办亦已委聘独立第三方,并即将进行私隐影响评估和资讯保安风险评估及审计。资科办会确保eID系统符合《个人资料(私隐)条例》条文的规定和政府资讯科技保安政策及指引。在不会对系统构成保安风险的情况下,资科办可向立法会提供相关意见和评估报告的资料。
完
2019年4月17日(星期三)
香港时间14时45分
香港时间14时45分