資訊科技發展迅速，使資料便攜性大增，機構可隨時隨地索閱所需資訊，包括一些個人資料，但隨之而來，資料外洩的風險也愈來愈大。香港個人資料私隱專員公署（PCPD）於2024年接獲203宗資料外洩事故通報（當中67宗來自公營機構、136宗來自私營機構），較2023年的157宗增加近三成，主要涉及黑客入侵、遺失文件或便攜式裝置、經電郵、郵遞或傳真意外披露個人資料、僱員違規、系統錯誤設定等。這些事故可能導致個人資料被不當使用，打擊公眾信心，亦成為政府、各行各業，以至非政府機構的惡夢。

社聯早前邀請公署分享預防及處理資料外洩事故的關鍵策略，以提升機構的準備和應變能力，當中提及一些實際案例，如有公司的電腦系統及檔案伺服器遭受勒索軟件攻擊及惡意加密，並要求公司支付「贖金」以解鎖被加密的檔案；也有學校的即時通訊軟件帳戶「被騎劫」，家長收到要求轉賬的訊息，結果發現300多名人士的個人資料遭洩漏，更包括已離職的教職員及學生。

非政府機構亦掌握大量服務使用者資料，要防患於未然，必須制訂嚴謹的政策和措施。以上述的學校即時通訊軟件資料外洩事故為例，公署提供了一些方案，包括：

• 為所有即時通訊軟件帳戶啟用雙重認證功能：因軟件會要求用戶以短訊或電郵驗證身分，即使密碼外洩或帳戶遭到入侵，亦能及早發現危機。
• 定期檢查已連結裝置：登出不再使用或不明的裝置連結，避免未授權第三方存取敏感資料。
• 定期整理已儲存的個人資料：訂定資料保存期限，並根據指引定期清除，以減低外洩風險。
• 制定即時通訊軟件使用指引：明確規定使用守則，加強職員保障個人資料私隱的意識。
• 定期向員工提供資訊科技安全培訓：提高員工對最新安全漏洞資訊的識別能力及應對方法。

上述保安原則亦可應用於機構的其他資訊儲存平台與日常運作，而公署出版的《資料外洩事故的處理及通報指引》亦載列事故應變計劃，值得各行各業參考，詳情可瀏覽www.pcpd.org.hk。

文章刊於2025年3月21日《Recruit – 蔡海偉專欄》