我國在2020財年數據泄露事件108起,雖然比2019年增加44%,不過所有事件都在48小時內解決。嚴重程度都屬于中或低級別,即對政府機構有不良後果,對個人或企業造成輕微不便。
我國在2020財年共發生108起政府數據泄露事件,比2019財年的75起,多出33起或44%,不過所有事件都在48小時內解決。
智慧國及數碼政府署昨天就如何保護公民數據發表第二份進度報告。報告指出,去年發生的所有數據泄露事件的嚴重程度都屬于中或低級別,即對政府機構有不良後果,對個人或企業造成輕微不便。
在108起事件中,有六起是公衆向政府數據安全聯絡中心(Government Data Security Contact Centre)舉報後發現。該中心成立于去年4月,供公衆報告涉及政府數據或政府機構的數據事件。
智慧國及數碼政府署表示,政府數據泄露事件的增加與私營企業及全球趨勢密切相關。“這一增長還反映出,公職人員提高了對報告所有數據事件的認識和了解,無論事件規模或影響如何。”
去年本地沒有發生嚴重的數據泄露事件。對于“嚴重”的定義,官方指的是涉及嚴重損害國家安全、打擊公衆信心,或造成個人死亡、嚴重身體、精神或財産損失,或是企業實體的持續財務損失的事件。
公共機構數據安全計劃 共24項已落實其中21項
我國曾在2018年發生兩起級別爲嚴重的數據泄露事件,分別是超過1萬4000名愛之病病毒帶原者的個人資料遭外泄;以及國家法院的網絡系統出現安全疏漏,九人在未經授權的情況下,浏覽了223份電子案件檔案。
另一方面,截至今年3月底,公共機構數據安全檢討委員會提出的24項計劃中,政府已落實了其中21項。
一些在去年10月後改進的事項包括設立數據隱私保護能力中心。這一隸屬于政府科技局(GovTech)的機構將監測新出現的風險,並向各機構提供專家建議。
此外,修正後的《個人資料保護法令》(Personal Data Protection Act,簡稱PDPA)自今年2月生效,加強了處理政府資料的非政府機構和非公職人員對于資料保護的責任。若故意不當處理個人數據,如未經授權披露個人資料、濫用資料牟取利益或造成傷害,將被問責。
智慧國及數碼政府署表示:“24項計劃中的其余三項是技術措施,須對技術系統進行重大的重新設計,且需要更多時間來開發。政府正按計劃在2023年底前完成這些計劃。”