新界總商會(huì)日前於尖沙咀美麗華酒店舉行「第十五屆董事會(huì)第十二次會(huì)議」����,並邀請(qǐng)個(gè)人資料私隱專員(私隱專員)鍾麗玲大律師擔(dān)任主講嘉賓,專員以「企業(yè)怎樣防範(fàn)網(wǎng)絡(luò)攻擊」為題����,向與會(huì)者分享近年因網(wǎng)絡(luò)攻擊造成的資料外洩真實(shí)案例,並講解加強(qiáng)網(wǎng)絡(luò)保安能力的實(shí)用措施��。她亦於會(huì)上介紹個(gè)人資料私隱專員公署(私隱專員公署)發(fā)表的《人工智能(AI):個(gè)人資料保障模範(fàn)框架》與《僱員使用生成式AI的指引清單》�。
新界總商會(huì)會(huì)長(zhǎng)張德熙,事務(wù)委員會(huì)主席彭志宏��,會(huì)務(wù)委員會(huì)主席周駿達(dá)����,副會(huì)長(zhǎng)周華焯 何光耀��、梁鐵夫、齊光華����、李國(guó)強(qiáng)、區(qū)宇凡���、張永德�����、宋玲鋆�����、廖齡儀�����,副主席黃志源����、梁金塘、莊金寧�����、陳安立�、馬沛強(qiáng)、黃凱斌 ��,法律顧問(wèn)譚健業(yè)�����、黃志剛��,中醫(yī)顧問(wèn)彭祥喜�,立法會(huì)議員梁子穎,屬會(huì)青衣商會(huì)主席柳振錦等近90人出席�����。
鍾麗玲(右三)與新總首長(zhǎng)合照�。
資料外洩事故頻發(fā)
鍾麗玲分享到,資料外洩事故一般指資料使用者持有的個(gè)人資料懷疑或已經(jīng)遭到外洩�,令有關(guān)資料當(dāng)事人的個(gè)人資料有被未獲準(zhǔn)許的或意外的查閱、處理����、刪除�、喪失或使用的風(fēng)險(xiǎn)�。私隱專員公署於2024年共接獲203宗資料外洩事故通報(bào),較2023年的157宗增加近三成�。其中涉及黑客入侵的事故由2022年的29宗,增加逾一倍至2023年的64宗�����,在2024年接獲的通報(bào)中���,61宗涉及黑客入侵,佔(zhàn)整體資料外洩事故通報(bào)的30%�����。
《私隱條例》的相關(guān)規(guī)定
鍾麗玲提到��,資料外洩事故可構(gòu)成違反《私隱條例》的保障資料第4原則�,資料使用者須採(cǎi)取所有切實(shí)可行的步驟,確保由資料使用者持有的個(gè)人資料受保障而不受未獲準(zhǔn)許的或意外的查閱���、處理�、刪除、喪失或使用所影響�����。如資料使用者聘用(不論是在香港或香港以外聘用)資料處理者���,以代該資料使用者處理個(gè)人資料����,該資料使用者須採(cǎi)取合約規(guī)範(fàn)方法或其他方法�,以防止轉(zhuǎn)移予該資料處理者作處理的個(gè)人資料被未獲準(zhǔn)許或意外地查閱、處理�、刪除、喪失或使用�����。
資訊及通訊科技的資料保安建議
鍾麗玲表示�,私隱專員公署於2022年8月發(fā)出《資訊及通訊科技的保安措施指引》,當(dāng)中資料保安建議措施有七大建議:資料管治和機(jī)構(gòu)性措施��;風(fēng)險(xiǎn)評(píng)估�����;技術(shù)上及操作上的保安措施;資料處理者的管理�����;資料保安事故發(fā)生後的補(bǔ)救措施�����;監(jiān)察����、評(píng)估及改善�����;及其他考慮����。
資料保安事故發(fā)生後的補(bǔ)救措施有八大建議,包括:停止並中斷連接受影響的系統(tǒng)��、更改密碼或中止權(quán)限�����、更改系統(tǒng)配置、通知受影響人士並提供建議�、通知私隱專員公署及其他執(zhí)法或監(jiān)管機(jī)構(gòu)、修補(bǔ)保安漏洞���、在可行情況下掃描系統(tǒng)���、汲取經(jīng)驗(yàn)及教訓(xùn)。
人工智能對(duì)個(gè)人資料私隱的影響
鍾麗玲提到���,有關(guān)人工智能對(duì)個(gè)人資料私隱的影響��,私隱專員公署於2024年6月發(fā)出《人工智能(AI):個(gè)人資料保障模範(fàn)框架》(《模範(fàn)框架》)����,向採(cǎi)購(gòu)��、實(shí)施及使用任何種類的AI系統(tǒng)(包括生成式AI)的機(jī)構(gòu)��,就保障個(gè)人資料私隱方面提供有關(guān)AI管治的建議及最佳行事常規(guī)�����。《模範(fàn)框架》內(nèi)容包括:AI策略及管治��;進(jìn)行風(fēng)險(xiǎn)評(píng)估及人為監(jiān)督����;實(shí)行AI模型的定製與AI系統(tǒng)的實(shí)施及管理;以及與持份者的溝通及交流���。
頂圖:全場(chǎng)大合照��。
