他们再次为疏失引起的公众焦虑和担忧致歉。“在这次事件中,公共服务部门并没有达到我们为自己设下的标准。”
由公务员首长叶成昌领导的检讨小组,经过调查后列出六大缺失,公共服务署、数码部和企管局分别进行检讨,涉事领导和人员表现评估和绩效奖励或受影响。
即使停用局部隐藏身份证号码,也不代表每次都用完整身份证号码取代,而是可以考虑其他方案,例如要求用户搜索时输入机构识别号码等额外参数。
检讨小组认为,数码部应该对较复杂的新应用场景,提供更详尽的政策指导。数码部和企管局在公众表达他们的顾虑后,也应更迅速地采取行动,查明事件发生的关键信息和暂停查询功能,并加强机构之间的协调,更充分地回应顾虑。
此外,虽然公开完整身份证号码有助提高企业透明度,但许多人仍认为这是敏感信息,不能轻易公开。企管局没有预先评估如何平衡这两项公共利益,违反政府有关数据管理的内部条例。
尽管有数次电邮交流,数码部和企管局都没有意识到,企管局误以为Bizfile平台属于新的数码产品,因此停用局部隐藏身份证号码的要求也适用于这平台的个人搜寻功能,但这项功能其实早在2003年就存在,不算是新的。
检讨报告指出,说明会有助澄清这些问题,但无论是出席说明会,或是收到说明会录制视频与解答常见问题资料的企管局人员,都没有向Bizfile项目领导人和企管局高管等内部人员妥善传达,导致企管局在信息不完整的情况下做决定。
政府随后成立检讨小组,探讨起因、相关身份证号码使用政策,以及如何从中学习。
数码部和企管局董事会已彻底审查涉事领导和人员的行为和责任,并会对他们采取行动,包括辅导、额外培训,以及重新评估他们的表现,这可能影响他们的薪酬。
数码部以及企管局和财政部星期一都发文告,接受检讨报告的结果和建议,并会立即采取改善措施,例如探讨如何进一步指导其他政府机构使用身份证号码政策,以及加强沟通。
总理黄循财已同意公开发布检讨报告,并在国会进行讨论。他说,报告为公共服务部门罗列关键的学习点,政府会牢记、改善程序,努力做得更好。
企管局数码部原可避免缺失
数码部在去年7月的内部通知中,要求公共机构马上终止使用局部隐藏身份证号码的任何计划,包括在新业务流程和数码产品中,随后也举办说明会,为企管局在内的超过80家机构解答疑惑。
去年发生的身份证号码事件中,会计与企业管制局和数码发展及新闻部都存在缺失,但没有证据显示有人刻意不作为或做出不当行为。
企管局去年12月9日推出新版Bizfile平台,公众利用这平台查询注册企业的有关人士时,它会直接展示这些人的完整身份证号码,这引发担忧和争议。个人查找功能在12月13日暂停,并在重启之后在免费查询阶段,不再显示任何身份证号码。
企管局发言人受询时说,当局正在探讨替代方案,例如为个人搜寻功能添加新搜索参数,解决数据保护顾虑,同时满足用户需求。搜索结果依然不显示身份证号码。
星期一(3日)发布的检讨报告指出,企管局和数码部都出现原可避免的缺失,当中数码部在去年发出内部通知时,应该更清楚地沟通有关的政策。
为此,原智慧国及数码政府署2022年开始检讨身份证号码使用政策,以回归识别身份的正确用途。这个署去年4月并入通讯及新闻部(数码部前身)。
延伸阅读
国务资政兼国家安全统筹部长张志贤星期四(3月6日)将在国会就检讨报告发表部长声明,并进行讨论。他也是主管智慧国工作团及数码政府和公共领域数据事务的部长。
身份证号码主要用途是为了识别身份,但一些机构组织错把它当作验证身份的方式,以鉴定对方是否可以获取特权信息和资源等,企业和机构隐藏局部身份证号码的做法也愈发常见,使人们有虚假的安全感,存在风险。
企管局事发后委托政府科技局展开的安全评估还发现,信息技术承包商并未充分落实安全措施,包括辨别用户是人或是机器人的验证方式。这些安全问题已在12月28日重启时解决,企管局仍在与承包商跟进,考虑后续行动。
