Thursday, May 15, 2008

私隱外洩風波擴大 IT保安管治抬頭

近期公、私營機構相繼發生個人資料失竊事件,引起社會廣泛關注。當然沒有人希望這些問題發生,但結果令各界注視私隱保障這回事。面對資訊科技廣泛應用引發的事故,其實往往非關技術問題,反而是關於管理、正確使用和文化。

其實,從十多年前私隱專員公署及個人資料相關法例出現以來,無可否認,市民對私隱的重視增加了,也開始理解什麼是個人資料,這是社會水平進步的可喜現象。不過,所謂個人資料使用者,即收集、儲存和使用個人資料的公司或機構,其認知和處理水平是否能追上市民的要求,這明顯是存疑的。

在文化和市民期望方面,市民認為這些個人資料是屬於他們的,使用個人資料的機構是代管者的角色,但機構本身以至各階層人員的理解和執行手法,卻未必跟得上。


例如,公署的教育和宣傳重點,以及個人資料使用者機構的注視,至今只集中於個人資料收集過程中的守則,但當機構收集了這些資料後,應如何處理,包括:從程序到個別技術、應用和運作層面的指引,及公署對機構的支援,都有很多須要改善的空間。進一步看,近期事件令人高度關注的部份,包括:機構如何向公眾交代,公佈什麼資料,有多快向私隱專員公署通報等,這些明顯是公眾關注的重要部分。

我們追究已發生事故之外,也要集中研究如何改善現行制度,除了在大型機構層面之外,亦要包括中小型私營機構,和其他一系列較宏觀的問題。第一,從公署的角度,資源真的並不足夠,在人手至教育宣傳亦然,連多年來從未執行過法例下「資料檢查」職能,專員也歸咎於無錢無人。

資源不足,當然源自政府忽視私營機構保障問題,對其風險也未有足夠評估。然而,參考英國近年出現的情況,大量市民在銀行的資料流失,嚴重程度可達到需要首相白高敦出來面對、問責。由此可見私隱保障問題的政治代價是不可少看的。

雖然私隱保障並非完全是個資訊科技的問題,但技術則明顯在私隱問題佔重要角色。一個重要且必須堅守的原則是,科技的確帶來在效率的運作模式,這是須受到肯定的,也不能因為什麼原因隨便說放棄不用。在資訊科技的角度看,用戶和機構太容易學習使用新技術、軟硬件、網絡,但卻沒有相應足夠地投資於風險管理、安全規劃等範疇。

所以,業界應該探討可以如何在現有制度引進資訊保安管治,例如在大型公、私營個人資料使用者機構,應否成立首席保安長(Chief Security Officer)和相關人力和資源的架構。這建議可在各受監管而又大量處理用戶個人資料的行業(如:銀行、通訊)和公營機構先行推動,值得業界、政府與用戶團體探討。

刊載於《e-zone》2008年5月15日

註:斜字為原稿,刊出時刪去。

0 Comments:

Post a Comment

<< Home

-->