lego logo
莫乃光議員去信查詢中國供應商加入政府公共雲端服務供應商列表 (2016年5月20日)
2016-05-20

下載信件

 

(以電郵發出)

 

政府資訊科技總監辦公室總監
楊德斌先生

楊先生:

 

查詢:中國供應商加入政府公共雲端服務供應商列表

 

香港資訊科技總監辦公室的雲資訊網站最近顯示,有一家在中國境內營運數據中心的供應商(阿里雲)獲加入政府公共雲端服務供應商列表,日後有機會投得政府部門合約提供雲端資訊科技服務。

鑑於雲端服務供應商在雲端平台上或會處理可識別個人資料,中國內地對個人或敏感資料的保障較本港弱,而該供應商所屬集團部份服務與中國執法機關關係密切,公眾和業界人士高度關注政府部門採用該供應商之雲端服務,可能影響本港市民個人資料的私隱保障和安全。

《個人資料(私隱)條例》第 33 條禁止資料使用者將個人資料轉移至香港以外的地方,除非符合條例列明的例外情況。自1995年條例被制訂以來,第33條尚未實施。

就此,請當局告知:

(1) 阿里雲運作之雲端平台會否處理香港市民的敏感個人資料,如有,保護措施為何?

(2) 據政府雲資訊網站所載資料,服務供應商不得向任何第三者洩露任何數據或有關政府公共雲端服務之資料,亦不得使用該等數據/資料作任何其他用途。當局有何具體措施確保雲端服務供應商遵守規定?
(3) 當局是否知悉供應商存儲資料之本地及境外數據中心位置?有否規定供應商須匯報數據儲存地點?負責提供技術支援之員工所獲得的存取權限為何?對傳送中、儲存及暫存的資料加密之保安技術要求為何?

(4) 若公共雲端服務供應商須將個人資料由香港轉移至境外(如供應商採用之雲端伺服器可在香港境外存取資料、某些運作聘用第三方進行),當局有否管控及防止泄露予第三者的機制,確保香港市民的私隱不被洩露?

(5) 當局如何制訂對政府公共雲端服務的保安要求,數據所需保密程度的定義為何?一般而言,涉及敏感資料的儲存位置以及使用者訪問權限為何?如未能符合規定要求,會否接受制裁?

(6) 對於提供政府雲端服務若使用外地的數據中心協助運作,該所在地之司法區(例如中國內地)是否必須有與《個人資料(私隱)條例》類似的法律正在生效?

(7) 有否規定服務供應商須披露來自本港或外地執法機關索取數據的要求和數據洩漏事件?如何保障本港市民資料不會被中國政府取得?

 

鑒於市民期望政府採用雲端服務時,嚴密保護市民個人資料以免資料洩露,本人高度關注並期望當局確保市民的私隱得到完善保障。敬希以書面回覆,解答業界和市民的疑慮。

 

立法會議員 (資訊科技界)
莫乃光

2016年5月20日

Office Of Hon. Charles Mok, Legislative Councillor (IT)