議員:隱私遭洩難追責 促確立罰則與索償機制
香港文匯報訊(記者 張弦)香港的公私營機構近年不時發生網絡安全事故,或導致部分市民資料外洩,甚至令不法之徒有機可乘、設下騙局,導致資料持有人蒙受經濟損失。有立法會議員及網絡安全專家均認為,香港現行法例並沒有確立機構或公司的網絡保安責任,資料外洩的當事人只能透過民事訴訟向機構追討責任,但取證困難,往往徒然。對此,專家建議針對資料外洩建立罰則,以及引入責任制,加強保障受害者,例如制定民事索償機制。
民事追討失職機構成本過高
香港特區立法會議員吳傑莊表示,最近爆出的幾宗網絡安全事故,令資料當事人感到無奈,例如數碼港事故,有市民7年前的資料被暴露在網上,然而當事人若要追討損失,只能自掏腰包,透過民事訴訟方式向財團機構追討,「要證明資料被外洩,同時證明到因該個機構洩露其數據而導致損失,其間或需花不菲訟費。」
他認為有必要在法律上加強資料外洩罰則,以及制定民事索償機制。香港有鄰近地區規定,機構或企業一旦導致資料外洩,要承擔法律責任及定額賠償,例如新加坡、他認為這樣的做法令公司或部門在保護數據上投入更多資源,「若有明確的罰則,相信所有公司會重視。」舉例而言,美國有網絡安全保險,公司若已盡其責任保障資料,但仍被攻擊而洩露資料,可以通過保險賠償公司及受害者。
資安需設問責機制
同時,香港現行法例下機構或企業一旦導致資料外洩,只要依私隱專員公署要求進行修正或改善,就無須負上刑責,吳傑莊認為阻嚇力不足。例如有公司被查出做假賬,公司的會計師便有責任;樓宇出現意外,證明工程師有疏忽,亦會被追究,資訊安全方面亦應該有類似問責機制。
他舉例說,倘有網絡保安負責人檢視新開發系統後簽署確認,日後若發現有關系統存在重大網絡保安漏洞,負責人就要承擔責任,以提高阻嚇力,「可以分短中長期去做,否則頻繁出現資料外洩事故,對香港建立智慧城市沒有好處。」
「中港網絡安全協會」創會主席葉青陽指出,目前發生資料外洩的情況後,涉事機構或部門只須盡快通報私隱專員公署及受影響者,就沒有其他處罰,故建議在數據處理方面應該有處罰機制,「例如出現奪命工業意外,判頭可能會被判誤殺罪,網絡安全亦應該有類似的機制。」他又建議修訂法例,讓資料持有人循獨立的索償機制追討權益。