来源:香港01
01评论编辑室
这一届政府非常重视安全。《国安法》严厉执行,社会治安甚至网上舆论都在密切监控。然而,最近不少香港人还是感到不安全。
——说的是网络(不)安全。
8月,数码港遭黑客盗取逾400GB资料,大量职员和前员工的个人资料于暗网被公开,包括身份证号码、履历、薪金等。
9月,消委会的电脑系统遭攻击,外泄的个人资料可能包括员工、前员工、求职者的身份证号码、住址、出生日期和履历,《选择月刊》订户的信用卡号码及到期日等。
不难想像,受影响人士自然会忧虑身份证号码等个人资料会被利用,例如借贷。说是“受影响人士”其实也淡化了问题,无辜要面对风险和活在忧虑之中,说他们是“受害人”才是正确。
谁是加害者?
虽然数码港表示会为“可能受影响人士”免费提供由专业保安顾问负责的身份监察服务,但有个人资料已被公开的前员工向《香港01》表示,质疑数码港可以如何监察或者帮助受害人。而这名前员工已离职七年,亦令人疑惑为何数码港会一直保存其个人资料多年。
至于消委会,虽然表示会尽快联络潜在受影响人士,但有曾经求职于消委会的市民批评其所提供的资讯跟网站所载的一般问答无异,例如建议考虑重设线上账户密码、检查是否有任何可疑活动、要求更换信用卡等,根本无法释除身份证号码、住址等个人资料被盗用的忧虑。
员工、前员工、求职者是受害人,黑客是加害人,那么资料外泄的机构在性质上又是什么?有些机构只保留求职者的个人资料12个月,有的却保留24个月,是否有此需要?有些机构采用较高级别的网络安全系统,有的却未必如此,一旦被黑客攻击,难道没有责任?资料外泄后,机构除了通知受客人之外,是否应该有责任提供更有效的技术和法律支援?
在资讯保安和网络安全方面,业界普遍视ISO/IEC 27001为基本标准,但截止去年香港获得的认证仅243个,不但远低于近7000个的日本、近1400个的台湾,亦比新加坡少一成半。而ISO/IEC 27001在去年已再更新至2022年版,香港多少机构、企业有提升保安水平,更是疑问。
法律要求落后形势
在法律方面,香港目前倚靠《个人资料(隐私)条例》和《刑事罪行条例》第161条的“不诚实取用电脑”罪来保障个人资料和网络安全。前者虽然在2021年经历修订,将“起底”行为列为刑事罪行,但大体而言仍然没有对资料管有人施加严格的法律责任,资料外泄后连民事诉讼、索偿都不容易。后者更加是不合时宜,针对的是不诚实使用别人的电脑而非网络入侵本身,亦不适用于使用个人电脑的行为。
相比之下,内地已于前年实施《个人信息保护法》,强制个人信息处理者采取必要措施保障资料安全,保存期限应当为实现处理目的所必要的最短时间,违法者可构成刑事责任。英国2018年修订的《数据保护法案》包括了多项刑事责任,欧盟继《通用数据保障条例》后去年又再草拟了《网络弹性法案》(Cyber Resilience Act),打算强制规范网络安全系统的水平、风险管理的标准等。
上届政府曾经提及,打算立法订定关键基础设施营运者的网络安全责任,并于去年底就立法建议进行公众咨询。惟到了今年7月,创新科技及工业局局长孙东仍然只表示政府正草拟立法框架,稍后会再就初步立法建议咨询公众。
公共交通、电力、金融等关键基础设施当然重要,但除此之外,大学、医管局、积金局甚至是八达通公司等企业同样拥有大量个人资料。在大数据年代,个人资料为不法分子所觊觎,机构和企业的保护力度必须达到更高水准,事后必须履行更大的支援责任。数码港和消委会两次黑客事件,已证明立法保护个人资料和网络安全刻不容缓。
两家机构的员工、前员工和求职者感到不安,朝夕担心被盗用个人身份,而再有机构被黑客入侵、资料外泄的事件亦非不可能。换言之,下一个可能受害的是香港每一个人。