新界總商會日前於尖沙咀美麗華酒店舉行「第十五屆董事會第十二次會議」，並邀請個人資料私隱專員（私隱專員）鍾麗玲大律師擔任主講嘉賓，專員以「企業怎樣防範網絡攻擊」為題，向與會者分享近年因網絡攻擊造成的資料外洩真實案例，並講解加強網絡保安能力的實用措施。她亦於會上介紹個人資料私隱專員公署（私隱專員公署）發表的《人工智能（AI）：個人資料保障模範框架》與《僱員使用生成式AI的指引清單》。

   新界總商會會長張德熙，事務委員會主席彭志宏，會務委員會主席周駿達，副會長周華焯 何光耀、梁鐵夫、齊光華、李國強、區宇凡、張永德、宋玲鋆、廖齡儀，副主席黃志源、梁金塘、莊金寧、陳安立、馬沛強、黃凱斌 ，法律顧問譚健業、黃志剛，中醫顧問彭祥喜，立法會議員梁子穎，屬會青衣商會主席柳振錦等近90人出席。

鍾麗玲（右三）與新總首長合照。

資料外洩事故頻發

   鍾麗玲分享到，資料外洩事故一般指資料使用者持有的個人資料懷疑或已經遭到外洩，令有關資料當事人的個人資料有被未獲准許的或意外的查閱、處理、刪除、喪失或使用的風險。私隱專員公署於2024年共接獲203宗資料外洩事故通報，較2023年的157宗增加近三成。其中涉及黑客入侵的事故由2022年的29宗，增加逾一倍至2023年的64宗，在2024年接獲的通報中，61宗涉及黑客入侵，佔整體資料外洩事故通報的30%。

《私隱條例》的相關規定

   鍾麗玲提到，資料外洩事故可構成違反《私隱條例》的保障資料第4原則，資料使用者須採取所有切實可行的步驟，確保由資料使用者持有的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。如資料使用者聘用（不論是在香港或香港以外聘用）資料處理者，以代該資料使用者處理個人資料，該資料使用者須採取合約規範方法或其他方法，以防止轉移予該資料處理者作處理的個人資料被未獲准許或意外地查閱、處理、刪除、喪失或使用。

資訊及通訊科技的資料保安建議

   鍾麗玲表示，私隱專員公署於2022年8月發出《資訊及通訊科技的保安措施指引》，當中資料保安建議措施有七大建議：資料管治和機構性措施；風險評估；技術上及操作上的保安措施；資料處理者的管理；資料保安事故發生後的補救措施；監察、評估及改善；及其他考慮。

   資料保安事故發生後的補救措施有八大建議，包括：停止並中斷連接受影響的系統、更改密碼或中止權限、更改系統配置、通知受影響人士並提供建議、通知私隱專員公署及其他執法或監管機構、修補保安漏洞、在可行情況下掃描系統、汲取經驗及教訓。

人工智能對個人資料私隱的影響

   鍾麗玲提到，有關人工智能對個人資料私隱的影響，私隱專員公署於2024年6月發出《人工智能（AI）：個人資料保障模範框架》（《模範框架》），向採購、實施及使用任何種類的AI系統(包括生成式AI)的機構，就保障個人資料私隱方面提供有關AI管治的建議及最佳行事常規。《模範框架》內容包括：AI策略及管治；進行風險評估及人為監督；實行AI模型的定製與AI系統的實施及管理；以及與持份者的溝通及交流。

頂圖：全場大合照。