香港文匯報訊(記者 蕭景源)香港兆基創意書院(兆基書院)及香港專業進修學校(港專)於2024年分別向私隱專員公署通報資料外洩事故,兩宗事故均涉及載有個人資料的資訊系統遭黑客入侵。私隱專員公署於2024年已根據既定程序分別就相關資料外洩事故展開並完成循規審查及調查。
基於上述背景,以及鑑於近年涉及教育機構的資料外洩事故呈上升趨勢,個人資料私隱專員鍾麗玲(私隱專員)其後根據《個人資料(私隱)條例》(《私隱條例》)第36條的權力,對兩間教育機構的個人資料系統進行視察,以檢視它們在資料外洩事故發生後的補救措施是否有效,以及對其載有個人資料的系統的資料保安作進一步全面的審視,並根據視察結果向教育界提供有關保障個人資料的建議。
私隱專員公署在今日(13日)發表視察報告,結果顯示兆基書院在其資訊系統遭黑客入侵後,已採取多項技術性措施以加強其資訊系統的保安,包括建立修補程式的管理程序、為賬戶的虛擬私人網絡(VPN)登入啟用雙重認證功能及設定高強度密碼。在存取管控方面,兆基書院採用「最小權限」及「角色為本」的存取管控機制,按用戶的職責授予他們必要的系統存取權限。此外,兆基書院亦為員工提供有關保障個人資料及資訊保安的培訓,並定期向員工傳達相關政策及指引。整體來說,私隱專員認為兆基書院在處理學生及教職員的個人資料方面,符合《私隱條例》中附表1保障資料第4原則有關資料保安的規定。雖然如此,私隱專員建議兆基書院在資訊保安及資料保留方面制定更詳細及具體的政策、提升資訊系統的偵測措施,以及加強對資料處理者在妥善銷毀其所持有的個人資料方面的管理與監督。
另外,視察結果亦顯示港專在資料外洩事故發生後已採取多項技術性措施以加強其資訊系統的保安及偵測能力,並已落實建立個人資料私隱管理系統,委任專責人員擔任保障資料主任,以及為員工提供有關保障個人資料的培訓及資訊,以提高員工網絡安全及防範可疑電郵的意識。港專採用「最小權限」的原則及「角色為本」的存取管控機制,由各部門主管按個別員工的職責及工作需要,授予員工為完成其工作所需的最低限度存取權限,亦制定了資料外洩事故應變計劃。整體來說,私隱專員認為港專在處理學生及教職員的個人資料方面,符合《私隱條例》中附表1保障資料第4原則有關資料保安的規定。雖然如此,私隱專員建議港專制定更全面及具體的資訊保安政策及資料保留政策、加強檢視載有個人資料的資訊系統紀錄,以及對資訊系統定期進行保安審計,以進一步保障所持有的個人資料。
私隱專員鍾麗玲表示:「教育機構在日常運作中需要處理大量學生及教職員的個人資料,因應這些個人資料的性質及處理存在風險,希望透過上述視察審視教育機構在保障個人資料方面所採取的措施。除了可進一步協助相關機構加強資訊系統安全管理、數據安全、防範個人資料外洩事故,亦可為教育界提供參考,協助他們遵從《私隱條例》的規定。」
根據上述視察結果,私隱專員亦希望向日常需要處理大量學生及教職員個人資料的教育機構提供下列建議,以加強數據安全,包括:一、設立個人資料私隱管理系統,並委任專責人員作為保障資料主任;二、制定明確針對資料管治和資料保安的內部政策和程序,並貫徹執行相關政策和程序;三、在員工入職時及往後定期向他們提供有關個人資料保障及資訊安全的培訓;四、採用「最小權限」的原則及「角色為本」的存取管控機制;五、實施有效措施以預防、偵測及應對網絡攻擊;六、定期為資訊系統進行全面的保安風險評估及審計;七、審慎聘任及管理資料處理者;及八、制定資料外洩事故及人工智能事故應變計劃。
0 已點過讚
