作爲大量數據的保管者,政府非常重視這個責任,公務員須在數據保護上超越遵規守紀的基本要求,力求卓越,尤其是高層管理人員,須理解數據安全對于維系機構運作與公衆信心的重要。
公共機構數據安全檢討委員會提呈給李顯龍總理的報告中,部分建議就著重在加強公務員的數據保護意識和能力,並提出要打造精益求精的文化(culture of excellence)。
報告指出,只會遵守流程和技術要求的公務員,只能應對過去的威脅,沒有能力識別和化解風險及新威脅。公務員應該超越這個基本要求,敏銳地察覺出數據安全風險,並主動進行管理。
委員會主席、國務資政兼國家安全統籌部長張志賢昨天在記者會上坦言,這是個高標准,但私人領域的一流人才也如此爲之。“我們希望公務員能時刻保持警惕,並互相照應,而不只是遵守規則。”
委員會因此建議政府,強制所有公務員每年完成數據安全的單元課程,以具備對數據安全風險的基本認識和理解。公務員也應提交年度聲明,證明他們理解在處理政府數據時須承擔的責任和義務。
要根本地改變機構文化並不容易。委員會強調,公共機構的高層領導和關鍵職務者在這方面須起帶頭作用。
李總理在寫給委員會的信函中也說:“作爲大量數據的保管者,政府非常認真看待這個責任。”
我國公共服務領域目前已有問責制框架和法律措施,但委員會建議修改和強化這些現有框架與措施,凸顯對數據安全的重視。
例如,將數據安全列爲政府機構的關鍵績效指標(KPI)之一,衡量標准可包括機構每年接受數據安全培訓的人員比率,或是年度數據安全審核結果。
建議修改個資保護法令 追究濫用個人數據非公務員
政府所設的高標准,也適用于處理政府數據的非政府機構和非公務員,但現有法律存在一些漏洞。
個人資料保護法令和公共部門(治理)法令目前不涵蓋魯莽或蓄意濫用政府數據的非公務員,除非他們是政府承包商的雇員,並且是爲牟利而濫用數據。
委員會因此建議修改個人資料保護法令,向嚴重濫用個人數據的非公務員追究法律責任,無論涉案數據是否來自公共部門。
主管公共服務的貿工部長陳振聲也是委員會成員。他說:“任何系統的強大取決于它最薄弱環節的能力。對于公共部門、私人領域和所有國人而言,至關重要的是要始終保持警惕,共同努力克服系統中的任何漏洞。”