【明報專訊】國泰航空泄940萬名乘客資料拖延近半年才公布,立法會資訊科技界議員莫乃光支持修例,強制企業通報資料外泄,並指應列明通報時限;有學者雖支持修例,但關注若條文具體寫明時限有欠彈性,另有電腦保安專家則反對現階段立例,認為本港中小企處理網絡保安經驗有限,「連出事怎辦都不知」,恐令企業誤墜法網。 莫乃光稱不宜逾7日 莫乃光昨在港台《城市論壇》上表示,近年法定機構如醫院管理局,如發現病人資料外泄,一般已自願通報,而社會對個人資料私隱關注增,立例強制通報「正是時候」。歐盟《通用數據保障條例(GDPR)》要求72小時內通報的要求合理,香港可以參考,而期限應否放寬多一兩日,「可待社會討論」,但認為不宜超過7日,「否則顯得香港較國際落後」。 香港中文大學信息工程學系副教授劉永昌說,支持強制通報,但認為時限毋須「寫死」,只要求「合理時間內通報」亦可,「資料外泄原因每次可不同,要視乎情?了解再公布」。 不過,生產力促進局電腦保安事故協調中心負責人黃家偉說,對現時即時修例有保留,因本地中小企的網絡保安意識待加強,遇上類似事故或「連公司本身都不知怎麼辦」,建議若要修例,應先提高企業意識,否則或會「殺錯良民」。但他強調,同意企業應盡早通報事件。 業界:先加強保安意識 早前有專家質疑事件與國泰外判網絡保安供應商有關。黃家偉表示,若企業能訂明條款及監管外判商有否妥善處理數據,「外判並無不妥」,小型公司「無力自行研發電腦保安系統」,交由可靠的網絡保安公司處理,反而更為恰當。公司可參考供應商經驗並查詢細節,包括數據有否加密及備份、是否定期更新防火牆等,選擇合適的供應商。 莫乃光亦表示,外判問題關鍵不在於供應商,而是反映公司的輕視心態,「裁員時最先炒IT部門,但網絡保安並非朝夕便可建立」。 對於國泰委託公司為「中招」客在網上監察資料,黃家偉指「意義不大」,因為只「得個『知』字」,而身分證號碼等並不能更改。莫乃光另提醒,近期或有不法之徒偽冒國泰發出電郵,呼籲市民慎防。
|
|
|