葛珮帆議員:主席,近期發生了多宗涉及警務人員而可能引致市民的個人資料外洩的事件,包括有警務人員遺失警察記事冊及記憶棒,以及他們使用點對點分享軟件引致在互聯網上可以搜尋到一些警方的機密文件。因應該等事件,警方已成立一個由警務處副處長領導的工作小組(工作小組),研究改善方法及採取措施以防止同類事件再次發生。就此,政府可否告知本會:
(一)工作小組會否全面檢討警方現行保障市民私隱的措施是否足夠;若會,會否向本會提交詳細的檢討報告;若不會進行檢討,原因為何;
(二)工作小組的成員名單為何,以及有否包括相關界別(例如資訊科技界)及私隱專員公署的代表;及
(三)工作小組研究的改善方法是否包括短、中及長期的措施,以確保研究未完成及長期措施未落實前,有短、中期的措施加強對市民個人資料的保障;若否,原因為何?
書面答覆
保安局局長:主席,警務處一向十分重視資訊保安和資料保護的工作。警方自2008年成立“FOXY”事件工作小組,後易名為“資訊保安工作小組”。這是警方內部的高層工作小組,由警務處副處長(行動)領導負責全面審視警隊的資訊保安,包括保護個人資料及機密資料的措施和程序,並在程序守則、安全設施、宣傳教育等多方面制訂一系列綜合措施,加強保安, 以確保維持最高資訊保安水平。
警方非常關注近期有數宗遺失警方文件而外泄個人資料的事件,警方會檢討有關政策、程序和指引,並會繼續採取各種措施以確保其系統及程序維持在最高資訊保安水平,和加強對人員的培訓,以確保有關政策及措施能夠應對資訊科技快速發展所帶來的挑戰。
就議員的質詢,現答覆如下︰
(一)及(二)
正如以上所提及,該工作小組負責全面審視警隊的資訊保安,制訂措施以確保最高資訊保安水平得以維持。工作小組由警務處副處長(行動)領導,成員共12位,包括警隊行動、刑事保安、管理、訓練、資訊系統、公共關係等管理層的代表。
資訊保安工作小組定期開會密切監察警隊資訊保安的最新情況及趨勢,並就資訊科技快速發展所帶來的挑戰不斷檢討各項保安措施的成效。具體措施的內容,請參閱第(三)部分的答覆。
當發生涉及個人資料外泄的事件時,警方會知會個人資料私隱專員公署(公署);而就公署對警方近期數宗遺失警方文件而外泄個人資料事件所展開的調查,警方會全面提供協助及作出配合。警方會繼續就實施保安及資料保護工作與公署保持緊密聯繫。
(三)工作小組成立以來制訂並實施了一系列全面的安全措施,涵蓋短、中、長期的綜合計劃。這些措施包括:
(i)政策及措施
─有關警隊的資訊保安及保護個人資料政策已訂明於《警察通例》、《程序手冊》及《警察資訊保安手冊》。警隊對於有關政策、程序和指引會作出適時的檢討及修訂。若人員不遵守警隊有關的政策、程序和指引,均可能構成違反指令,並將遭受紀律處分。由2010年至2012年10月,共有3名警務人員因此而受紀律處分。
─在2009年推出的警隊價值觀 - “正直及誠實的品格”行為指引中,把“保護個人及機密資料”定為人員應該遵從的其中一項行為指引。
─長遠而言,警隊擬改善其資訊科技基礎設施,建立“虛擬工作站”,以加強資訊保安。虛擬科技是指一個伺服器電腦模式,在遠端中央伺服器運作的虛擬工作站會取代個人電腦,而所有使用的程式、應用程式、程序及資料均集中在伺服器的一端儲存和操作,資料不會傳送至前線終端機及不能從前線終端機下載,因此資料保安得以提升。警隊已取得立法會的撥款,並以西九龍總區作為虛擬工作站的試點,這項目預計會在2014年推出。
(ii)科技支援及協助
─在2008年作出一次全面性的電腦“消毒行動”後,每年定期檢測警隊所有電腦系統,確保資訊保安達到安全標準。
─為警務人員提供用以儲存限閱資料的USB加密手指驅動器,所有督察或以上職級的人員亦獲派附有數碼證書加密的USB手指驅動器,以處理及傳送機密資料。
─所有警隊電腦的USB連接埠已加入可認證名單程序,確保只有已登記的USB裝置才可在警隊的電腦上使用。
─所有警隊電腦均安裝了光碟盤燒錄管制及加密功能以增強端點保安。
(iii)宣傳及培訓
─警隊定期舉辦訓練及簡報會,讓人員認識資訊科技的最新發展及參考良好作業守則的經驗。
─今年4月警隊製作了一套資訊保安的互動電子學習套件,供前線及督導人員使用。
─今年8月警隊推出新一輪的“資訊保安及保護個人資料”訓練,加強所有警隊成員對有關《個人資料(私隱)條例》和資訊保安及個人資料保護的知識及責任。
─由於使用社交媒體已經相當普遍,警隊於今年1月向人員發放有關個人使用社交媒體的指引,提醒各人員對資訊保安風險的管理。
─在學警及見習督察的基礎訓練課程及初級管理人員的晉陞課程中,講解個人資料私隱及資訊保安,加強人員對資訊保安重要性的觀念及讓各人清楚自己的角色。
─因應《個人資料(私隱)條例》的新修訂,警隊將於今年11月舉辦簡報會,加強人員對於新訂法例的認知。