政府將在明年內更新公共部門須遵守的數據保護條例,其中包括須在發生資料泄露事件的72小時內,決定是否通知受影響者。更新條例將使公共部門的數據保護措施與私人領域的個人資料保護條例接軌。
政府數據署署長郭詩琳接受《海峽時報》訪問時指出,該署將分階段更新政府指導手冊(Instruction Manual 8,簡稱IM8)的內容,預計在下來9個月至12個月內完成更新,讓公共部門有更清楚數據保護的措施。
IM8規定了有關資訊科技安全的政府政策、標准、條例和操守准則,所有公務員都須遵循這套指導守則。公共部門也會定期接受審核,以確保它們遵守IM8。
郭詩琳指出,IM8下來將增添的新條例包括,發生資料泄露事件時,涉及的公共部門須在72小時內決定是否通知受影響的各方。
IM8目前已規定公共部門須在資料泄露發生的一小時內,向智慧國及數碼政府工作團(SNDGG)通報。
在個人資料保護法令下,私人企業若有大量資料被盜,須在知情後的72小時內通知個人資料保護委員會。至于受影響者,個人資料保護委員會只建議企業盡快通知他們。
IM8另一項新條例是爲公務員提供具體指示,指導他們須爲不同的文件設置安全密碼。
這與個人資料保護法令一致,即要求私人企業具備足夠安全措施,以防止有人未經授權地獲取、收集或使用企業擁有的個人數據。
此外,IM8的其他新技術措施也包括,公共部門須在下載的文件附上數碼水印,這有助數據外泄時的調查工作;在存儲的密碼中添加隨機數據,讓密碼即使被不法之徒盜竊也無法使用;以及規定只能通過安全的內部渠道分享文件。
公共機構數據安全檢討委員會上個月向政府提呈報告,建議公共部門應從技術流程、人事管理和治理架構,多管齊下地提升數據安全。政府全盤接受委員會的所有建議。
委員會探討了政府有關數據安全的條例和指南,即IM8和公共部門(治理)法令,並與管制私人領域的個人資料保護法令對比。
報告中指出,公共機構須遵循的數據保護要求和標准不亞于私人領域,但委員會仍建議政府“進一步協調IM8和個人資料保護法令中所采用的語言,以提高一致性和清晰度”。
公共機構數據安全檢討委員會的成立,事緣過去兩年的幾次數據泄露事故,尤其是去年的新保集團網襲事件。爲全面檢討公共服務領域的數碼安全政策,李顯龍總理今年3月底任命這個高級別委員會,並由國務資政兼國家安全統籌部長張志賢擔任主席。
政府會在2021年底前,在八成的政府系統落實委員會提出的技術措施,其余兩成的系統則因過于複雜或需要重新設計,將在2023年底前才采納。