谁要问责？

公司注册处和机电工程署先后确认他们保存的个人资料在网上有外泄风险，被立法会议员、资讯科技及广播事务委员会主席葛珮帆狠批不能接受。但她还是太过厚道，只说如果再发生类似事件，要有人问责或接受纪律处分。

去年8月、9月，数码港和消费者委员会已先后遭黑客入侵，前者超过13,000名资料当事人的个人资料外泄，后者涉及超过450名人士的个人资料。政府部门稍有危机意识，应该已全面检视网络安全及资料保障系统。谁不知公司注册处到今年4月，才发现电子查册系统在开发者工具或者编写程式下会披露额外的个人资料。两个方法都不算很精密复杂，正如处方所说，简单到按下F12键便能启用，保安程度之低可想而知。

低处未见低。机电署前年3月至7月疫情期间，为执行“围封强检”行动而收集的资料，包括14幢大厦内约1.7万名市民的姓名、联络电话、身份证号码及住址等，竟然还在网上平台，更加可以在无需输入密码的情况下浏览。不但无法理解为什么两年前的资料仍原封不动保留至今，而且署方在市民报告后才后知后觉，风险漏洞令人咋舌。

两宗事件均涉及市民的姓名、身份证号码、住址、电话等，一旦被恶意利用，后果可以很严重。不管是否承办商出错，政府部门作为委托人，也是市民交出资料的受托人，绝对责无旁贷。葛珮帆促请公务员事务局责成部门首长做好网络安全，但事实上政府各部门已设有资讯科技保安主任，领导该部门的整体资讯保安管理。资讯保安并非新事物，怎能等待再发生类似事件？现在就应该问责。

许多政府部门都设有保障资料主任以及保障个人资料（私隐）主任，发生这类疏忽事件，他们须否负责？如果没有问责制度，公务员事务局局长难辞其咎？如果是在技术层面构成资讯保安不足，问题就在资讯科技总监办公室。这个由D6级高官领导、编制750人、每年花费20亿元的部门，不可能只是制订了《政府资讯科技保安政策及指引》就当了事。康体通不通，监考易很难，区议会选举电子名册不电子，还要再闹出多少笑话，创新及科技局才会要求资科办问责？

私隐专员公署私已即时对公司注册处事件展开调查，但结果又可以怎样？根据他们近日完成的数码港和消委会资料外泄调查，两个机构的资讯保安政策同欠具体，违反了保障资料第4(1)原则有关个人资料保安，数码港又另外违反了第2(2)原则有关个人资料保留的规定。不过根据《个人资料（私隐）条例》，私隐专员仅指示了两个机构指示纠正问题，以及防止类似违规情况再次发生，基本上等如没有罚则可言。除非违规机构不执行指示，或者有受害人循民事诉讼索偿，但大家都知道两个情况都不大可能发生。

六年前国泰外泄940万顾客资料，最终还不只是收到纠正通知，然后就再没然后？社会——包括我们在内——批评了目前资料保障制度不足已久，政制及内地事务局做了什么？2021年局长曾国卫说，“政府早前已就《私隐条例》的修订方向征询立法会政制事务委员会的意见。我们会联同公署详细研究并敲定具体的修例建议，适时咨询立法会的意见。”2022年曾局长说，“特区政府早前已就《个人资料（私隐）条例》的其他修订方向征询本委员会的意见。我们会联同私隐公署详细研究并敲定具体的修例建议，并适时咨询委员会的意见。”2023年他说，“我们正与私隐公署研究进一步修订《私隐条例》，以加强个人资料的保障，应对网络科技的新挑战。在参考其他司法管辖区的相关私隐法例和香港的实际情况后，我们会联同私隐公署制订具体修例建议并征询委员会的意见。”

既是如此，再没有下次事件才怪，市民只能自求多福。与其说“如果再发生类似事件”，不如现在就正面问题核心：谁要问责？