委员会因此建议政府,强制所有公务员每年完成数据安全的单元课程,以具备对数据安全风险的基本认识和理解。公务员也应提交年度声明,证明他们理解在处理政府数据时须承担的责任和义务。
我国公共服务领域目前已有问责制框架和法律措施,但委员会建议修改和强化这些现有框架与措施,凸显对数据安全的重视。
政府所设的高标准,也适用于处理政府数据的非政府机构和非公务员,但现有法律存在一些漏洞。
报告指出,只会遵守流程和技术要求的公务员,只能应对过去的威胁,没有能力识别和化解风险及新威胁。公务员应该超越这个基本要求,敏锐地察觉出数据安全风险,并主动进行管理。
例如,将数据安全列为政府机构的关键绩效指标(KPI)之一,衡量标准可包括机构每年接受数据安全培训的人员比率,或是年度数据安全审核结果。
委员会主席、国务资政兼国家安全统筹部长张志贤昨天在记者会上坦言,这是个高标准,但私人领域的一流人才也如此为之。“我们希望公务员能时刻保持警惕,并互相照应,而不只是遵守规则。”
要根本地改变机构文化并不容易。委员会强调,公共机构的高层领导和关键职务者在这方面须起带头作用。
公共机构数据安全检讨委员会提呈给李显龙总理的报告中,部分建议就着重在加强公务员的数据保护意识和能力,并提出要打造精益求精的文化(culture of excellence)。
建议修改个资保护法令 追究滥用个人数据非公务员
委员会因此建议修改个人资料保护法令,向严重滥用个人数据的非公务员追究法律责任,无论涉案数据是否来自公共部门。
个人资料保护法令和公共部门(治理)法令目前不涵盖鲁莽或蓄意滥用政府数据的非公务员,除非他们是政府承包商的雇员,并且是为牟利而滥用数据。
李总理在写给委员会的信函中也说:“作为大量数据的保管者,政府非常认真看待这个责任。”
主管公共服务的贸工部长陈振声也是委员会成员。他说:“任何系统的强大取决于它最薄弱环节的能力。对于公共部门、私人领域和所有国人而言,至关重要的是要始终保持警惕,共同努力克服系统中的任何漏洞。”
作为大量数据的保管者,政府非常重视这个责任,公务员须在数据保护上超越遵规守纪的基本要求,力求卓越,尤其是高层管理人员,须理解数据安全对于维系机构运作与公众信心的重要。
