從今年底開始,約14萬5000名公務員在處理國人的敏感或機密數據時,將面對更嚴格的系統審查,以加強對這些資料的保障。
例如,系統會在公務員發送含有他人身份證或信用卡號碼的電郵時發出提醒,要求發送者確認後才能發出電郵。
公共機構數據安全檢討委員會(Public Sector Data Security Review Committee)昨天提出13項加強各方面數據安全的措施。政府已表示同意,並會逐步推行這些安全措施。
這包括將機密數據,如部長或愛之病病毒(HIV)帶原者的個人資料隔開,實行更嚴格的保護措施,或使用可爲密碼或敏感資料加密的工具。其他提議還包括使用根據公務員工作範圍提供特定權限,並在對方離職後自動撤回權限的系統。
委員會指出,這些措施確保相關當局能夠及時探測到異常活動,如果系統遭入侵或數據外泄,也可確保資料無法被濫用。
公共機構數據安全檢討委員會今年4月成立,由國務資政兼國家安全統籌部長張志賢擔任主席,全面檢討公共服務部門的數據保護工作,進一步加強和改進對我國公民數據的保護。總理公署常任秘書(智慧國及數碼政府)黃志勤昨天與媒體分享委員會的工作進度,還有接下來幾個月的工作內容。
委員會至今召開兩次會議,並要求所有公共服務部門提交目前使用的數據安全措施清單。
委員會也已經完成針對特定機構的檢討工作,包括衛生部、衛生科學局、建屋發展局、公積金局和國內稅務局,主要管理國人的醫療和財務資料。
委員會在檢討過去數據外泄事故時發現,不少事故因人爲錯誤無意間造成,不過也有一些資料由內部不法之徒或外部網絡攻擊者泄露。
檢討結果也顯示,涉及權限訪問的管理方案以及個別部門提供的培訓不一致,目前也沒有能夠妥善監管第三方供應商的相關政策。
在13項措施當中,使用可掃描電郵內容的系統、可鑒定資料是否被他人篡改過的工具以及爲文件進行加密這三項措施,今年底將率先被所有公共部門采納。其余措施則會根據各部門管理的數據敏感度分階段采用。例如,含有傳染病或破産等機密敏感資料的數據庫,須采用委員會提出的大部分安全措施。
委員會下來幾個月會提出其他方面的措施,包括如何更有效管制接觸敏感數據的第三方供應商,以及提供培訓加強公務員管理數據的能力,並在11月30日前向總理提呈完整檢討報告和建議。