香港個人資料私隱專員公署公布最新數據,2025年共接獲246宗資料外洩通報,較上年度增加21%,其中三分之一個案涉及黑客入侵,反映本港網絡安全形勢嚴峻。
學校及非牟利機構成重災區
公署指出,在246宗資料外洩通報中,學校及非牟利機構佔92宗,高達總數37%,成為資料外洩重災區。私隱專員表示,這類機構往往資源有限,難以投放足夠資金及人手維護網絡安全系統,令黑客有機可乘。
涉及黑客入侵的個案中,最常見手法包括勒索軟件攻擊、釣魚電郵及系統漏洞利用。公署呼籲各機構應定期進行安全評估,確保系統更新至最新版本,並加強員工培訓。
關鍵基礎設施保護條例生效
《保護關鍵基礎設施(電腦系統)條例》已於2026年1月1日正式生效,標誌著本港網絡安全監管進入新時代。條例要求營運關鍵基礎設施的機構必須建立完善的網絡安全管理制度,並在發生安全事故時按規定時限向當局通報。
受條例規管的行業涵蓋能源、資訊科技、銀行及金融服務、陸路運輸、航空運輸、海運、醫療保健及通訊等八大範疇。違例機構最高可被罰款500萬元。
私隱公署加強執法
展望2026年,私隱公署預告將採取更積極的執法策略。公署強調,雖然本港目前並無強制資料外洩通報機制,但機構如未有妥善保護個人資料,仍可能面臨公署調查及執法行動。
公署建議各機構檢視現行資料保護措施,包括:
- 制定全面的資料外洩應變計劃
- 定期備份重要資料並測試復原程序
- 實施多重身份驗證措施
- 監察系統活動以偵測異常行為
- 與第三方供應商簽訂資料處理協議
專家籲提升網絡安全意識
資訊科技界人士指出,隨著人工智能技術普及,黑客攻擊手法日趨複雜,傳統防護措施已難以應對新型威脅。企業除了投資技術方案外,更應加強員工培訓,建立全民網絡安全意識。
有專家建議政府考慮引入強制資料外洩通報機制,與國際標準接軌,以加強對公眾個人資料的保護。