資訊科技日新月異,為市民帶來方便,也帶來個人資料外洩的風險。2018年,載有數百萬市民信貸資料的環聯資訊(TransUnion)被揭發保安漏洞;在反修例風波中,亦有大批警員、市民及示威者被「起底」。個人資料私隱專員黃繼兒大律師坦言,個人資料私隱專員公署2018年的口號「數據平安」,2019年改為「網上和氣」,希望網民不要動不動就將人「起底」。
政府提出修訂《逃犯條例》引起軒然大波,截至去年 10月21日,個人資料私隱專員公署(下稱公署)已接獲及主動發現2683宗相關個案。所涉網上社交平台及討論區共有13個,所涉的連結共有2145條,並有5人被警方拘捕。
黃繼兒指出,鑑於個人資料被「武器化」的情況嚴重,公署新一年的宣傳重點主要面向長者和青年人,尤其是電視和網上的宣傳活動。
虛擬銀行保障私隱有責
與此同時,金融管理局已發出8個虛擬銀行牌照,預計最快今年初可投入服務。不過,虛擬銀行既便利營商環境,亦可能帶來個人資料洩漏風險。黃繼兒表示,公署的立場是不會阻撓,反而會便利虛擬或網上銀行的發展,理由是:一、市民將在金融服務方面得到前所未有的便利和好處,尤其是大數據之下,可以開放更多資料,用戶亦可獲得更多資訊,對於金融服務的選擇和提供,無論種類、數目和素質都有好處。然而,公署作為監管機構,一定要考慮這些服務有沒有涉及個人資料的風險,包括搜集、儲存、使用,以及如何取用個人資料,包括在金融機構內,以及與第三者分享個人資料等,都涉及監管制度中的資料保障原則。無論是任何形式的金融服務,這些原則是一定要遵守的。
他坦言,在新科技幫助下,金融服務的科技應用愈來愈多,相對而言,個人資料流動性(runnability)提高,受傷害的風險也會相應增大。因此,必須想辦法堵塞這些容易受傷的「出口」(outlet)。
他說,公署已不斷跟銀行公會及有關機構溝通,尤其是分享資料政策的透明度和企業道德方面,即使法例沒有十分細緻列明,公署仍然提倡企業做「君子」,不要鋌而走險。「除了守法、依法外,我們希望孕育出具道德水準的文化」。
「對於日新月異的金融科技帶來的隱憂,我們的處理方式,就是一定要按照法律,即使法律沒有清楚列明,金融機構也必須有企業社會責任,做好數據道德、數據管治的工作。」為此,公署會向有關金融機構發出指引,以及分享不同個案的例子。
六大原則保障個人資料
那麼,公署有沒有法定權力阻止個人資料外洩呢?
黃繼兒說:「法例規定,保障個人資料的原則有六項,涵蓋整個數據的生命周期,由資料收集到查閱都有監管,目的是要保障當事人的基本人權,對於個人資料的運用有選擇權。」
現實是有些人不理會六項原則,「法例上有規定刑事上的違法行為,包括直銷沒得到當事人同意,或繼續做一些當事人已表明不同意的行為,例如不同意繼續接對方的電話、不同意繼續接廣告等等」。
依法調查網上「起底」
他續說:「最近有些人從公共領域取得別人的資料,未經資料源頭的同意放上網分享或洩漏出去,令當時人受到心理上的損害,包括加上恐嚇字眼等,亦涉嫌干犯刑事罪行。」
他強調,對於此等個人資料「武器化」的行為,公署將秉持不偏不倚的原則,不論政治背景、社會地位、立場及意圖,都將依法調查。
包括有可能要求網站營運者移除有問題的資料或圖片,若營運者拒絕移除,便可能觸犯法律。另外,公署也有傳召的權力,可以要求當事人協助找尋有關的資料。他透露,目前公署執行情況不錯,77%被要求移除被「武器化」個人資料的網站都已移除了。「這些被要求移除的個人資料,包括了彼此政見不相同的人士,有政府官員、警察、一般市民,甚至示威人士。無論本地或外地的網站,都有令人鼓舞的回應。」不過,黃繼兒也承認,一些以美國為基地的大型網上平台營運商,可能礙於本身的私隱政策,(移除資料)的百分比反而沒有那麼高。」
平衡表達自由與公共安全
記者問,作為普通市民,如何可以保障個人資料不會外洩呢?
黃繼兒指出,保障個人資料與言論自由等基本人權可能有衝突,公署的責任是保持兩者的平衡,不應任意踐踏言論自由、表達自由、發表自由等基本人權。「但實踐言論自由等基本人權,也不能踐踏他人的聲譽,不能危害社會安全、國家安全,不能造成公共安全的威脅,這是全球一致的,香港也不例外,即使網上發表言論,也不能惡意詆毀他人,不能對國家及社會安全造成不合理的威脅。因此,公署在保障個人資料時,不會忘記顧及其他個人權利的保障,但在大是大非、涉及暴力和社會安寧的情況下,公署一定會按照法律,在保障個人權利時,讓路給大眾的利益」。
記者又問,律政司司長及警務處長早前入稟要求法庭頒令禁止任何人非法披露警員及其家屬的個人資料,包括住址、社交平台帳號及照片等,但未包括所有被「起底」人士,公署如何解讀?
警務人員被「起底」最多
黃繼兒表示,有關申請是由律政司司長作為大眾利益保護者的身份提出,另一申請者警務處長則代表所有警務人員,因此禁制令針對非法披露警員及其家屬的個人資料,是可以理解的。他指出,公署目前收到警務人員的投訴大約5000宗,佔投訴個案大約七成。可以說,警務人員是被「起底」最多的單一群組。其次,警務人員每日肩負沉重的責任,加上時間上有逼切性,如果(禁制令頒得)太晚,可能造成對前線警務人員的傷害,會影響他們服務市民的素質,相信律政司司長和警務處長亦考慮過,這是不可容忍的。當然,其他人亦可以(申請禁制令),在保護個人資料方面,我亦建議公署應有法律地位幫助其他當事人循司法渠道申請索償或補救方法,例如禁制令。
他又表示,很多國家在處理個人資料的時候,都是從三方面一起看:一、消費者權益有無受損;二、是否在反壟斷法例中有所規範;三、有沒有違反個人資料私隱條例。公署希望在保障個人資料私隱的同時,協助企業少踩「地雷」。
談到環聯資訊去年被揭發保安漏洞,令第三者可以索閱市民的信貸報告紀錄。黃繼兒表示,公署最近已就此發表調查報告,指環聯的網上認證程序出現4個漏洞,並已批評環聯沒有採取切實可行的步驟來保障用戶個人資料不受未經准許的查閱,違反《個人資料(私隱)條例》下有關資料保安的保障資料原則,同時,已向環聯發出通知,要求糾正有關問題並防止再次發生。
!doctype>黃繼兒簡介
現任個人資料私隱專員,任期由2015年8月4日起為期五年。在加入個人資料私隱專員公署之前,是私人執業大律師及獨立諮詢機構香港法律改革委員會的秘書。
1986至2007年在律政司(1997年前稱律政署)任職律師,並曾出任不同的職位包括助理刑事檢控專員及副法律政策專員。他是人權法的專家,曾參與1991年《香港人權法案條例》的立法程序,其後借調到日內瓦聯合國人權事務委員會,為期一年至1992年。