私隱公署過去一年接獲169宗資料外洩　69宗涉黑客入侵

科技發展一日千里，同時亦為保障私隱或個人資料構成不少挑戰。在今日(26日)立法會一個委員會會議中，個人資料私隱專員鍾麗玲表示去年4月至今年3月，共接獲169宗資料外洩的通報，當中69宗涉及黑客入侵，佔比約40%。私隱專員公署去年一共為117間機構舉辦內部培訓課程，並由去年11月起在講座內容加插數據安全管理，以加強機構保障數據安全的意識。公署現正全面審視私隱條例的條款，擬定具體的修例建議，包括引入強制性的個人資料外洩通報機制。

鑑於人工智能的應用在香港日趨普及，鍾麗玲指公署於去年8月至今年2月期間，合共向28間本地機構進行循規審查，以了解相關機構在開發或使用人工智能時收集、使用及處理個人資料的情況。儘管未有發現違反私隱條例相關規定的情況，公署亦將於今年第二季發表《人工智能:個人 資料保障模範框架》，為機構在採購、實施和使用人工智能系統處理個人資料時，提供一系列關於管治及減低私隱風險的建議。

議員周浩鼎關注被盜資料的最終用途，而機構一旦發現客戶資料外洩，公署會否通知受牽連的巿民提高警覺，冀減少損失。議員鄧飛留意到騙徒透過人工智能擷取巿民相片或聲音，藉此冒認身份，關注容貌聲音是否屬於個人私隱範圍。

議員陳永光指近年不時發生機構洩露個人資料事件，詢問公署會否要求機構若發現客戶資料外洩，必須於一定時限之內作出呈報，或針對沒適當措施保護個人資料的企業作出處罰。他又指公署發表《開發及使用人工智能道德標準指引》等報告，巿民未必有興趣仔細詳閱，詢問公署會否考慮採用懶人包或問答遊戲等，以提高公眾對保障個人私隱的應知。

鍾麗玲回覆指過去12個月，私隱專員公署共處理394宗主動審查個案及169宗資料外洩的通報。而169宗資料外洩，當中69宗涉及黑客入侵，佔比約40%；25%涉及遺失文件或便攜式裝置；15%經電郵、郵遞或傳真意外披露個人資料；僱員違規佔10%，少部份是由於系統的錯誤設定而導致資料外洩。

她說黑客入侵，無論盜取資料多寡，目的都是賺錢、或勒索求贖金，畢竟數碼時代，個人資料有價有巿，尤其是在暗網當中。企業一旦外洩客戶資料，相關機構須第一時間通知當事人，若果藉詞需時弄清涉及甚麼客戶，公署亦會積極跟進。公署現正全面審視私隱條例的條款，擬定具體的修例建議，包括引入強制性的個人資料外洩通報機制，並着手趼究通報門檻、通報時限和通報方式。公署會參考其他司法管轄區的情況，再考慮香港的實際情況，以作出切實可行的建議，條例審視亦包涵私隱公署擁有行政罰款的權力。她說現行罰則已20多年，有必要與時並進。她說留意到人工智能的深度偽造，認為面容聲音都是敏感的個人資料，會同執法部門加強協作。宣傳教育方面，鍾麗玲指公署會持續審視成效，適時調整做法，認同採用「懶人包」方式，而公署上個月亦推出兩個「懶人包」教導巿民精明使用智能電話同社交媒體。