【時評】完善網安法規 釐清營運責任


  個人資料私隱專員公署昨日公布消費者委員會去年9月資料外洩事故的調查結果。私隱專員鍾麗玲表示,事故是由於消委會多項缺失所致,沒有採取切實可行步驟保障個人資料,違反了私隱條例的規定。消委會作為本港其中一個重要法定機構,過去數十年在保障消費者權益方面作出巨大貢獻,亦因此該事故對社會的負面影響較大,當局處理相關事宜不能掉以輕心。

  雖然此次資料外洩事故涉及的人數不算太多,影響看似有限,但從調查結果來看,情況其實不容樂觀。一方面,要攻破消委會系統,黑客只需截取一個具管理員權限的賬戶憑證,便能長驅直入,可見相關網安管理十分兒戲。私隱專員公署將消委會缺失歸為五大類:包括沒有為遠端存取資料啟用多重認證功能、沒有妥善設定用作偵測及攔截網絡安全威脅的軟件、欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料、資訊保安政策有欠全面及具體,以及保障個人資料私隱及網絡安全意識不足。這些其實都只不過是當前維護網絡安全必備的基本功。

  另一方面,黑客即使未能成功勒索金錢,但被盜取的個人資料仍可能被用於詐騙或其他網絡犯罪。過去一年,除消委會外,本港還相繼發生數碼港、香港大學教育學院和芭蕾舞團等電腦網絡系統被黑客攻破,成因不一。這些業內翹楚尚且如此,普通公司更加堪虞。香港企業以中小企為主,有多少已被不知不覺盜取資料、或被用作網絡攻擊的跳板不得而知,但從近年本港網絡罪案數目猶如滾雪球般上升,各方應有所警惕。

  網絡安全不止是企業自己的事情,更加攸關市民大眾利益。香港作為全球一個主要商業城市,網安事故頻發,難免會成為網絡不法分子眼中的「肥豬肉」。因此,專家意見認為,當前急務,一是要盡快制訂各方需遵守的基本網安指引,二是要完善法律規範,講清楚企業內部和外部(如電訊和網絡基建公司等)各方面必須履行的網安責任。只有這樣,類似事故中的相關企業和職員的責任才能說得清,才能施以有效罰則以防重犯;而不是如現在發生事故後,只是發通知要求糾錯等不痛不癢的做法。