新思维｜政府资讯安全屡失守　问责缺失交代不足

来稿作者：彭意婷

2023年8月发生的数码港黑客入侵事件，至今已逾一年，却仍未见政府或数码港向公众及立法会作出全面交代。这一涉及超过13,000名市民个人资料外泄的事件，揭示了香港政府在资讯安全保护、公众问责和危机管理方面的严重不足。

政府对资讯安全保护的意识明显薄弱。数码港作为香港创新科技的旗舰项目，其网络安全机制竟存在多项严重漏洞，包括保安审计频率不足和未启用多重认证功能等基本问题。这不仅反映了数码港本身的管理缺陷，更凸显了政府在监管和指导方面的失职。数码港的案例只是冰山一角，近期公司注册处、机电工程署、消防处等多个政府部门都出现了资料外泄或存在外泄风险的情况。这一系列事件接连发生，显示政府在资讯安全管理方面缺乏有效的统筹和系统性的应对措施。

政府在公众交代和问责方面的表现同样令人失望。数码港已于2024年2月向个人资料私隐专员公署提交了完整的调查报告，但该报告至今未向公众公开。私隐专员公署于2024年3月28日向数码港发出执行通知后，四个月过去，公众仍然不知道数码港是否已经按时完成所有指示措施。这种信息不透明的做法严重损害了公众对政府的信任，也反映了政府在危机处理和沟通方面的能力不足。

面对这些挑战，政府必须采取全面而系统的措施来提升其资讯安全管理水平。首先，政府应在体系内培养强烈的资讯安全文化，提高所有部门和员工的资讯安全保护意识。其次，政府需要建立一个更为透明和有效的问责机制。这不仅包括及时公开事件调查报告，还应该定期向立法会和公众汇报处理进展，确保相关责任人能够得到适当的处理。

鉴于资讯安全事件频发，政府需建立一个有效的统筹机制，制定统一的安全标准、监督各部门的执行情况、协调应对突发事件，并定期进行全面的安全评估。同时，政府还应该制定一个全面的资讯安全长期策略，包括定期更新安全措施、持续培训员工、引入先进技术等，以适应不断变化的网络威胁环境。

政府还需要大幅提升其危机沟通能力。在发生资讯安全事件时，能够主动及时、透明、全面与公众沟通至关重要。这不仅有助于维护公众信任，也能够帮助减轻事件可能带来的负面影响。此外，政府应该考虑加强相关法律框架，以完善保护个人资料，并明确政府部门在资讯安全方面的责任和义务。

数码港事件和其他一系列资讯安全问题暴露了香港政府在这一领域的严重不足。在数字化时代，资讯安全直接关系到市民的权益和香港的国际竞争力。政府必须正视问题，采取全面、系统的措施来提升资讯安全水平，同时大幅提高公众交代的透明度和问责制度的有效性，香港才能维护其作为国际金融和科技中心的地位。

作者彭意婷是新思维执委。文章仅属作者意见，不代表香港01立场。

“01论坛”欢迎投稿，来函请电邮至01view@hk01.com。 来稿请附上作者真实姓名及联络方法。 若不适用，恕不通知。