個人資料私隱專員公署完成對香港兆基創意書院及香港專業進修學校的視察,指兩校在2024年發生資料外洩事故後,已採取有效補救措施,整體符合《私隱條例》要求。公署同時向兩校及教育界提出多項建議,促請加強數據安全。
兩校補救措施獲認可 仍有改善空間
私隱專員公署指出,兆基書院及港專於2024年分別因黑客入侵導致資料外洩。公署其後對兩間院校就事故進行調查,並對其個人資料系統進行視察,以檢視其補救措施的成效,並於今日發表視察報告。
視察結果顯示,兆基書院在事故後已採取多項技術性措施以加強其資訊系統的保安,包括建立修補程式的管理程序、啟用雙重認證登入及設定高強度密碼等措施,並採用「最小權限」及「角色為本」原則管控系統存取,並為員工提供有關保障個人資料及資訊保安的培訓。私隱專員認為其處理個人資料方面,符合《私隱條例》的資料保安規定,但建議該校應制定更詳細的資訊保安及資料保留政策,並提升系統偵測能力。
至於港專的視察結果顯示,公署指其事故後亦已加強系統保安,落實建立個人資料私隱管理系統,委任保障資料主任及為員工提供培訓。港專同樣採用「最小權限」及「角色為本」原則,並制定了資料外洩應變計劃。私隱專員認為其做法符合《私隱條例》規定,但建議應制定更全面的資訊保安及資料保留政策,加強檢視載有個人資料的資訊系統紀錄,並定期進行保安審計。
私隱專員向教育界提八大建議
私隱專員鍾麗玲表示,教育機構處理大量敏感個人資料,希望透過是次視察,為教育界提供參考,協助他們遵從《私隱條例》。她向業界提出八項建議,以加強數據安全:
- 設立個人資料私隱管理系統,並委任專責人員作為保障資料主任;
- 制定明確針對資料管治和資料保安的內部政策和程序,並貫徹執行相關政策和程序;
- 在員工入職時及往後定期向他們提供有關個人資料保障及資訊安全的培訓;
- 採用「最小權限」的原則及「角色為本」的存取管控機制 ;
- 實施有效措施以預防、偵測及應對網絡攻擊;
- 定期為資訊系統進行全面的保安風險評估及審計;
- 審慎聘任及管理資料處理者;及
- 制定資料外洩事故及人工智能事故應變計劃。
私隱專員公署鼓勵機構參考公署刊發的《資訊及通訊科技的保安措施指引》及《資料外洩事故的處理及通報指引》,未雨綢繆,提升網絡安全和數據安全。
