阿里雲列供應商名單 莫乃光去信政府 促交代如何保障私隱不給中國政府
立場新聞 2016/05/20 14:56
阿里巴巴旗下雲端業務阿里雲,正式名列港府雲端服務供應商名單,立法會資訊科技界議員莫乃光今去信政府資訊科技總監辦公室,查詢有關的私隱問題,如阿里雲運作的雲端平台會否處理香港市民的個人資料,以及如何保障中國政府不能取得市民資料。莫乃光指,市民個人資料會否被雲端服務供應商洩露給中國政府或第三者「事關重大」,促政府清楚交代。
莫乃光於Facebook貼出致政府資訊科技總監辦公室總監楊德斌的信件,列出七大問題:
(一) 阿里雲運作之雲端平台會否處理香港市民的敏感個人資料,如有,保護措施為何?
(二) 據政府雲資訊網站所載資料,服務供應商不得向任何第三者洩露任何數據或有關政府公共雲端服務之資料,亦不得使用該等數據/資料作任何其他用途。當局有何具體措施確保雲端服務供應商遵守規定?
(三) 當局是否知悉供應商存儲資料之本地及境外數據中心位置?有否規定供應商須匯報數據儲存地點?負責提供技術支援之員工所獲得的存取權限為何?對傳送中、儲存及暫存的資料加密之保安技術要求為何?
(四) 若公共雲端服務供應商須將個人資料由香港轉移至境外(如供應商採用之雲端伺服器可在香港境外存取資料、某些運作聘用第三方進行),當局有否管控及防止泄露予第三者的機制,確保香港市民的私隱不被洩露?
(五) 當局如何制訂對政府公共雲端服務的保安要求,數據所需保密程度的定義為何?一般而言,涉及敏感資料的儲存位置以及使用者訪問權限為何?如未能符合規定要求,會否接受制裁?
(六) 對於提供政府雲端服務若使用外地的數據中心協助運作,該所在地之司法區(例如中國內地)是否必須有與《個人資料(私隱)條例》類似的法律正在生效?
(七)有否規定服務供應商須披露來自本港或外地執法機關索取數據的要求和數據洩漏事件?如何保障本港市民資料不會被中國政府取得?
對於在阿里存儲的資料,會否有機會交到中國政府當局、以及大陸員工會否接觸到相關資料,阿里巴巴發言人前天回覆《立場》查詢指,阿里雲高度重視客戶的數據保護,又指阿里巴去年就發表了「數據保護協議」,「運行在雲計算平台上的開發者、公司、政府、社會機構的數據,所有權絕對屬於客戶;雲計算平台不得將這些數據移作它用。平台方有責任和義務,幫助客戶保障其數據的私密性、完整性和可用性。」
而創新及科技局前天回覆查詢時指出,有意為政府提供公共雲端服務的供應商,須具備最少一年提供雲端服務的經驗,並符合保安、人力資源、技術等方面的相關要求;根據政府資訊科技總監辦公室的指引,政府部門所使用的公共雲端服務,只限於處理其公開或非保密的資料及不會涉及個人資料,所以並不會出現資料洩露的問題。