設獨立調查委員會 重建警監會信譽

上星期，投訴警方獨立監察委員會(警監會)公布投訴人資料外泄事件的調查報告。由於警監會、承判商EDPS和分判商各執一詞，報告不但沒有明確指出責任誰屬，其模稜兩可的結論，也未能釋除公眾疑慮，嚴重地削弱警監會的公信力。

　警監會在今次事件中連番失誤，首先，警監會將2萬名投訴人的資料輕率處理，實在是責無旁貸。投訴人的個人檔案是屬於極為敏感的資料，但警監會職員竟將這些機密資料，隨便交到承判商甚至其他分判商手上。其實，警監會是不應該把真的機密資料交予承判商。一般來說，系統保養承辦商提供電子檔案的轉換服務，根本不需要「真實」的資料檔案，警監會只要把模擬資料交予承判商，便可達到提升儲存資料庫功能的目的。事件中，警監會職員隨便地把機密資料交予承判商，明顯地，警監會內部對於資訊保安的危機意識十分薄弱。

　其次，根據政府資訊科技總監辦公室的資料，政府的資訊工程合約外判一向都有清晰的指引，但警監會在批出處理電腦合約時，卻並沒有強調資料保密的重要。批出的合約，也沒有清楚規定承判商不可分判。而承判商將處理敏感資料的工作分判給第三者，警監會也一直被蒙在鼓裡，直至事件曝光後才知道。究竟警監會在批出外判合約時，有否依循指引，採取嚴謹的措施監督承辦商，大家心中有數。而事件也反映出政府對資訊工程合約外判的指引雖然存在，有關措施的執行情況，卻並不理想。

　要減低一旦因網絡保安失誤而引發的危機，政府實在有必要重新檢視其資訊保安政策，要求各政府部門和公營機構立即進行風險評估。政府必須建立一套劃一清晰的資訊分級制度，將現時政府部門和公營機構的資訊和系統按敏感程度作出分類，訂立基線的保安要求和稽核要求。同時，政府也應該要求公營機構向政府註冊敏感的資訊系統項目，定期提交資訊保安管治報告。此外，當局也應要檢討目前政府和公營機構資訊科技外判計劃，確保承辦商有能力及確實執行保安政策的要求。而涉及敏感的資訊系統項目，只可容許符合國際保安認證水平要求的承辦商，參與該項目。

　警監會投訴人士的資料外泄事件，擾攘至今已近一個月，警監會已採取一系列措施，例如向受影響人士道歉，並要求本港及海外的互聯網供應商刪除資料，但公眾仍未完全掌握事件真相，事件更發展至警監會與承判商互數不是，更不排除日後對簿公堂，這個監察警方處理市民投訴的獨立機構已陷入公信力危機。因此，警監會「自己查自己」的做法，肯定並不能令公眾釋疑，反而更進一步令事件惡化。

　要重建警監會的信譽，行政長官應盡早介入，委任法官為首的獨立調查委員會跟進，深入調查事件中的疑團，汲取教訓，為事件盡快畫上句號。

(本文已於2006年4月14日刊於文匯報"單刀直入"專欄。)