信息科技发展迅速，使数据便携性大增，机构可随时随地索阅所需信息，包括一些个人资料，但随之而来，数据外泄的风险也愈来愈大。香港个人资料私隐专员公署（PCPD）于2024年接获203宗资料外泄事故通报（当中67宗来自公营机构、136宗来自私营机构），较2023年的157宗增加近三成，主要涉及黑客入侵、遗失文件或便携式装置、经电邮、邮递或传真意外披露个人资料、雇员违规、系统错误设定等。这些事故可能导致个人资料被不当使用，打击公众信心，亦成为政府、各行各业，以至非政府机构的恶梦。

社联早前邀请公署分享预防及处理数据外泄事故的关键策略，以提升机构的准备和应变能力，当中提及一些实际案例，如有公司的计算机系统及文件服务器遭受勒索软件攻击及恶意加密，并要求公司支付「赎金」以解锁被加密的档案；也有学校的实时通讯软件帐户「被骑劫」，家长收到要求转账的讯息，结果发现300多名人士的个人资料遭泄漏，更包括已离职的教职员及学生。

非政府机构亦掌握大量服务用户数据，要防患于未然，必须制订严谨的政策和措施。以上述的学校实时通讯软件数据外泄事故为例，公署提供了一些方案，包括：

• 为所有实时通讯软件帐户启用双重认证功能：因软件会要求用户以短讯或电邮验证身分，即使密码外泄或帐户遭到入侵，亦能及早发现危机。
• 定期检查已链接装置：注销不再使用或不明的装置链接，避免未授权第三方存取敏感数据。
• 定期整理已储存的个人资料：订定资料保存期限，并根据指引定期清除，以减低外泄风险。
• 制定实时通讯软件使用指引：明确规定使用守则，加强职员保障个人资料私隐的意识。
• 定期向员工提供信息科技安全培训：提高员工对最新安全漏洞信息的识别能力及应对方法。

上述保安原则亦可应用于机构的其他信息储存平台与日常运作，而公署出版的《数据外泄事故的处理及通报指引》亦载列事故应变计划，值得各行各业参考，详情可浏览www.pcpd.org.hk。

文章刊于2025年3月21日《Recruit – 蔡海伟专栏》