【金怡假期．观点】旅行社资料接连被盗　网上保安监管须加强

近日，接连有旅行社遭黑客入侵伺服器，盗取客户资料并被勒索比特币。旅行社存有大量市民的个人资料，明显现时政府对于旅行社的网上保安监管严重不足，而更甚的是，旅行社和市民对于资料被窃欠缺危机意识，有市民担心自己的行程受阻，或是优惠、积分等受影响，而忽视了资料被不法分子盗取的危机。
随着智慧城市的发展，个人私隐资料的用途将更广泛，外泄的风险将更高，要加强对各行各业的电子保安监管，政府责无旁贷，政府应从旅游业的规管做起，同时提升市民保护个人资料的意识。

旅游业议会作为现时监管旅行社的机构，却同时是业界的代表，早年发生的强迫购物、导游态度恶劣等事件，已反映其规管力度严重不足。对于旅行社的网上保安监管，现时更是没有明确的指引或制度规范，只靠各旅行社自律加强保安，旅议会只鼓励旅行社提高意识。

市民容易淡忘　旅行社抱侥幸

资讯科技界立法会议会莫乃光指，即使聘用专家做风险评估、升级保安系统可能只需数万元，但市民对于传媒报导资料外泄事件容易淡忘，令旅行社容易抱有侥幸心态，忽视其重要性。

对于持有大量敏感资料的各行各业，政府并非完全放任，金管局与证监会均设有电脑保安指引，而显然对旅游业的监管同样须加强。立法会正处理《旅游业条例草案》，拟定成立旅游业监管局取代旅游业议会，在发牌制度上政府可加入相关的条文，规管处理个人资料时的守则、设立罚款制度。莫乃光认为此做法可加强其阻吓性，令旅行社务必要重视其网上保安系统。

现时各旅行社使用的网络保安系统各异，其保护强度也各有不同，早前更有传媒揭露有旅行社订票网站甚至没有基本的加密，黑客要取得个人资料可谓易如反掌。对于接连的资料被盗事件，旅游业议会仍只发通告提醒旅行社提高警觉，及为旅行社举办相关讲座，其补救及阻吓作用远不足够，在发牌制度上的规管有明显必要性。

政府早于1996年设立个人资料私隐专员公署保障个人私隐，公署却没有实质检控权力规管公司、机构如何处理个人资料。即使获通报资料外泄作循规审查，只要愿意改善，公署也轻易放过处理不善的公司，形同无牙老虎，同时反映出公署规管落后。公署的角色早已为人诟病多时，社会一直急速转变，加上现时科技应用的普及程度大大提升，除了在规管上如何加强力度，其推广市民加强保护个人资料的意识的手法，也须重新检视。