泄資料強制通報 學者倡時限彈性

泄資料強制通報學者倡時限彈性

[2018.10.29] 發表

【明報專訊】國泰航空泄940萬名乘客資料拖延近半年才公布，立法會資訊科技界議員莫乃光支持修例，強制企業通報資料外泄，並指應列明通報時限；有學者雖支持修例，但關注若條文具體寫明時限有欠彈性，另有電腦保安專家則反對現階段立例，認為本港中小企處理網絡保安經驗有限，「連出事怎辦都不知」，恐令企業誤墜法網。

莫乃光稱不宜逾7日

莫乃光昨在港台《城市論壇》上表示，近年法定機構如醫院管理局，如發現病人資料外泄，一般已自願通報，而社會對個人資料私隱關注增，立例強制通報「正是時候」。歐盟《通用數據保障條例(GDPR)》要求72小時內通報的要求合理，香港可以參考，而期限應否放寬多一兩日，「可待社會討論」，但認為不宜超過7日，「否則顯得香港較國際落後」。

香港中文大學信息工程學系副教授劉永昌說，支持強制通報，但認為時限毋須「寫死」，只要求「合理時間內通報」亦可，「資料外泄原因每次可不同，要視乎情?了解再公布」。

不過，生產力促進局電腦保安事故協調中心負責人黃家偉說，對現時即時修例有保留，因本地中小企的網絡保安意識待加強，遇上類似事故或「連公司本身都不知怎麼辦」，建議若要修例，應先提高企業意識，否則或會「殺錯良民」。但他強調，同意企業應盡早通報事件。

業界：先加強保安意識

早前有專家質疑事件與國泰外判網絡保安供應商有關。黃家偉表示，若企業能訂明條款及監管外判商有否妥善處理數據，「外判並無不妥」，小型公司「無力自行研發電腦保安系統」，交由可靠的網絡保安公司處理，反而更為恰當。公司可參考供應商經驗並查詢細節，包括數據有否加密及備份、是否定期更新防火牆等，選擇合適的供應商。

莫乃光亦表示，外判問題關鍵不在於供應商，而是反映公司的輕視心態，「裁員時最先炒IT部門，但網絡保安並非朝夕便可建立」。

對於國泰委託公司為「中招」客在網上監察資料，黃家偉指「意義不大」，因為只「得個『知』字」，而身分證號碼等並不能更改。莫乃光另提醒，近期或有不法之徒偽冒國泰發出電郵，呼籲市民慎防。