政府部門接連爆資料外洩　葛珮帆指部門首長應就相關事件問責

政府部門近期接二連三爆出電腦系統洩露市民私隱事故，公司註冊處早前其「電子服務網站」的個人資料外洩，受影響的當事人約為11萬人，涉及的個人資料包括姓名、完整護照號碼、完整身份證號碼、通常住址、電話號碼及電郵。立法會資訊科技及廣播事務委員會主席葛珮帆今日(6日)在電台節目表示，一旦資料被公開惡意利用，後果可以很嚴重，認為政府部門接二連三發生資料外洩事件是不能接受，應嚴肅調查，同時根據合約追究承辦商責任。

葛指出，資訊科技辦公室(資科辦)有指引提供給各個部門使用，以保護市民私隱，而要求資科辦每日去管各部門情況，並不切實可行。她認為，隨着政府部門數碼化，部門首長應就相關事件問責，公務員事務局應責成部門首長做好網絡安全，若再發生類似事件，要有人問責或接受紀律處分。

她隨後召開記者會，指近年發生多宗洩露資料事件，當中選管會、數碼港、消委會、機電處，以及公司註冊處均出現資料外洩事件，認為事件「一單嚴重過一單」，反映政府與公營機構管理人員對保護市民個人資料不足，引起大眾擔心。

經分析數宗個案後，她認為問題與人為疏忽，以及管理問題有關，舉例指數碼港和消委會涉及的問題為網絡攻擊，其中涉及人為疏忽，因為如非人為疏忽網絡攻擊不能輕易成功。她續指是次的公司註冊處的承辦商在技術上出現錯致資料外洩，相信屬管理問題。

她又批評當事件發生少見部門承擔責任，多數「拖拖拉拉」，較遲先通知受害人，認為並不理想，需要有人問責，而現時當發生資訊科技問題時社會都會認為資科辦需要負責，但她認為雖然資科辦需要為政府部門網絡保安、發出指引等負責， 惟目前問題不是因為指引不足，而是各部門的負責人對指引的意識，甚或執行力不足。加上資科辦權責上無辦法管理政府其他部門員工，促每一個政府部門首長要自己負責，公務員事務局應責成部門首長做好網絡安全，如果有人為疏忽要有人問責或接受紀律處分。此外，她也認為當局根據合約追究承辦商責任。

香港資訊科技商會榮譽會長方保僑在同一個電台節目表示，公司註冊處外洩事件，絕對是系統設計問題，屬不應犯的錯誤，在系統推出前便應發現。當局要吸取經驗，由資科辦作出檢視，不同部門自身有資訊科技部，日後成立數字政策辦公室，便不應各自為政，以免不斷重複犯錯。另外，對於機電工程署外洩2022年圍封強檢14幢大廈內約1.7萬名市民的個人資料事故，方指出公共數據不應放在外間雲端伺服器，否則承辦商更改系統權限，情況便難以控制。