【金怡假期．觀點】旅行社資料接連被盜　網上保安監管須加強

近日，接連有旅行社遭黑客入侵伺服器，盜取客戶資料並被勒索比特幣。旅行社存有大量市民的個人資料，明顯現時政府對於旅行社的網上保安監管嚴重不足，而更甚的是，旅行社和市民對於資料被竊欠缺危機意識，有市民擔心自己的行程受阻，或是優惠、積分等受影響，而忽視了資料被不法分子盜取的危機。
隨着智慧城市的發展，個人私隱資料的用途將更廣泛，外洩的風險將更高，要加強對各行各業的電子保安監管，政府責無旁貸，政府應從旅遊業的規管做起，同時提升市民保護個人資料的意識。

旅遊業議會作為現時監管旅行社的機構，卻同時是業界的代表，早年發生的強迫購物、導遊態度惡劣等事件，已反映其規管力度嚴重不足。對於旅行社的網上保安監管，現時更是沒有明確的指引或制度規範，只靠各旅行社自律加強保安，旅議會只鼓勵旅行社提高意識。

市民容易淡忘　旅行社抱僥倖

資訊科技界立法會議會莫乃光指，即使聘用專家做風險評估、升級保安系統可能只需數萬元，但市民對於傳媒報導資料外洩事件容易淡忘，令旅行社容易抱有僥倖心態，忽視其重要性。

對於持有大量敏感資料的各行各業，政府並非完全放任，金管局與證監會均設有電腦保安指引，而顯然對旅遊業的監管同樣須加強。立法會正處理《旅遊業條例草案》，擬定成立旅遊業監管局取代旅遊業議會，在發牌制度上政府可加入相關的條文，規管處理個人資料時的守則、設立罰款制度。莫乃光認為此做法可加強其阻嚇性，令旅行社務必要重視其網上保安系統。

現時各旅行社使用的網絡保安系統各異，其保護強度也各有不同，早前更有傳媒揭露有旅行社訂票網站甚至沒有基本的加密，黑客要取得個人資料可謂易如反掌。對於接連的資料被盜事件，旅遊業議會仍只發通告提醒旅行社提高警覺，及為旅行社舉辦相關講座，其補救及阻嚇作用遠不足夠，在發牌制度上的規管有明顯必要性。

政府早於1996年設立個人資料私隱專員公署保障個人私隱，公署卻沒有實質檢控權力規管公司、機構如何處理個人資料。即使獲通報資料外洩作循規審查，只要願意改善，公署也輕易放過處理不善的公司，形同無牙老虎，同時反映出公署規管落後。公署的角色早已為人詬病多時，社會一直急速轉變，加上現時科技應用的普及程度大大提升，除了在規管上如何加強力度，其推廣市民加強保護個人資料的意識的手法，也須重新檢視。