***************
以下为今日(五月二十八日)在立法会会议上曾钰成议员的提问和商务及经济发展局局长马时亨的答覆:
问题:
就政府部门和公营机构泄漏市民个人资料的事件,政府可否告知本会:
(一)过去三年,有关的个案总数,以及这些个案涉及多少名市民的资料;当中有多少宗个案已由有关当局把资料外泄事件通知警方、个人资料私隐专员公署,以及受影响的市民;
(二)各政府部门和公营机构有没有向员工发出指引,订明透过电脑及其配件(例如USB记忆体和读卡器等)阅览、下载、复制和传送市民的个人资料的限制、保安标准,以及遗失资料时的通报程序等事宜;如果有发出指引,内容是什么;如果没有,会不会发出有关的指引;及
(三)各政府部门和公营机构有没有计划检讨现行的资讯保安制度和系统,以及加强员工的资讯保安意识;如果有计划,详情是什么;如果没有,理由是什么?
答覆:
主席女士:
现就曾钰成议员的提问答覆如下:
(一)过去三年截至二○○八年五月二十二日为止,政府共接获14宗涉及政府部门泄漏个人资料的报告,这些个案合共涉及约1,900名市民的个人资料。同期内公营机构有16宗个案,涉及的市民大约有44,000名。现时《个人资料(私隐)条例》并没有规定,资料使用者在发生个人资料外泄事故后,需要通知个人资料私隐专员。不过,政府内部有制定指引,所有政策局及部门必须向成员包括政府资讯科技总监办公室、保安局及警方的政府中央事故应变办事处,汇报此类事故。
上述30宗个案,其中7宗个案的政府部门或公营机构有将泄漏资料的事故通知警方、私隐专员及受影响市民。至於其余的23宗,有关的政府部门和公营机构则视乎个别个案的情况(包括事件是否涉及失窃/刑事罪行、当事人的联络资料不详等),适当地通知警方、私隐专员或受影响市民。
(二)政府订立了一套全面的资讯保安规例及政策,并已向各政策局及部门发布。这些规例、政策及相关程序和指引参照国际公认的最佳做法制订,而且不时检讨,以反映科技及保安威胁的转变。当中涵盖的课题包括:资讯系统及资料的存取控制、办公室保安、软件资产管理,以及使用非政府供应的软件的授权规定。各政策局及部门亦须定期提醒员工(包括合约人员)遵行资讯保安规定,并在有需要时给予培训。
公共机构方面,各政策局及部门与辖下公共机构订定规管或行政安排时,会参考有关的政府保安规例及政策。各政策局及部门通常会建议公共机构在制订本身的资讯保安政策、计划方案和实施安排时,采取或参考政府的资讯保安政策、指引和技术资料。
如发生资讯保安事故,有关的政策局及部门须即时展开初步调查,如事故涉及个人或受限制资料,或者影响公共服务或政府,则须向中央事故应变办事处汇报。
上述中央事故应变汇报机制不涵盖公共机构。以我所知,公共机构会按各自有关法例或规例的规定,就事件作出汇报。视乎个别情况,他们可考虑向公众公布有关事件。
(三)虽然这些事故部分仍在调查中,但初步结果显示,大部分事故是由於对现有的资讯保安规例、政策和指引缺乏认识及警觉所致,特别是使用抽取式电子设备和共用档案软件方面。我们已即时对所有政府员工发布了两个内部文件,提醒他们关於保护政府资讯系统和机密/个人资料的责任与常设指南。为进一步提高员工的资讯保安意识及协助他们遵行有关规定,政府资讯科技总监办公室与保安局在公务员事务局的协助下,现正与部门资讯科技保安主任紧密合作制订一项沟通计划,目的向所有员工清楚表达政府对资讯保安及数据保密要求的重视,并建立及维持高度的认知,加强员工的警惕性和承担。在推行这些项目当中,如何在办公室之外或在家处理公务文件将是一个特别焦点。
此外,政府已设立机制,检讨内部资讯保安管理架构及措施,以便各政策局及部门遵行。在这方面,政府资讯科技总监办公室及保安局担当主导角色,但有需要时,其他行政、公务员培训及执法机构亦会参与。针对近期发生的事件,政府会在未来三至四个月检讨资讯保安政策、指引和改善措施。
各政策局及部门亦应向辖下公共机构反映政府的最新发展,以供他们采用和参考。
完
2008年5月28日(星期三)
香港时间12时37分