如何以法律規管網絡起底？｜TECH

網絡起底（doxxing）基本上是隨着互聯網而生的產物，早在上世紀90年代的美國，就有反墮胎人士收集墮胎服務提供者的個人資訊、寫成打擊名單，煽動他人去攻擊相關人士。
今天，香港亦因《個人資料（私隱）條例》（下稱「私隱條例」）的建議修訂，而疑似引起Google、Facebook等網絡巨企考慮退出香港。到底網絡起底的規管應該如何進行？其他國家的例子又有何值得參考之處？

在傳統的法律框架中，有至少兩種與起底接近的行為其實早已被規管。一是侵犯私穩，二是騷擾他人。因此，在不少國家或地區，起底行為都被相關法例列入規管之中。

現行法律的不足

例如在香港，私隱條例第64條對未經資料使用者同意使用資料，而造成當事人蒙受心理傷害的規管，就成為了當局針對起底行為的法律工具。相關管控亦由私隱專員公署處理。

在英國、加拿大，起底行為則有可能違反與騷擾他人相關的法律。英國的《免受騷擾法》（Protection from Harassment Act）就禁止了相等於騷擾他人及知道或應該知道屬相等於騷擾他人的行為。

而在美國，則有《跨州通訊法》（Interstate Communications Statute）禁止包含綁架或傷害個人的任何威脅的網絡通訊，以及《跨州纏擾法》（Interstate Stalking Statute）禁止使用互動性電腦服務使某個人對死亡或嚴重身體傷害有合理恐懼。另外亦有法律禁止對於公職人員及其家人受管制資料的公開。

難題是，正如不少隨着互聯網而產生的行為一般，既有的法律並不能有效規管到起底行為。

首先，由於網絡傳訊迅速而能廣泛散布，要尋找誰是原初的資料使用者，或者相關資料的公布有沒有事先得到此資料使用者的同意，極為困難。跟某人的病歷記錄不同，一個人的電話、地址之類的原初資料使用者眾多，且一經在網上傳開已難追蹤來源。

同時，不少起底行為只簡單公開當事人的姓名、電話或地址等資訊，並沒有對當事人提出明確的威脅或造成明確的騷擾，卻讓當事人有理由感到恐懼。此等行為雖然可被現行法律包括在內，但除了其司法成本高，而且難以提供迅捷和有效的救濟外，傳統法律也沒有將「公布當事人識別性資料」這個特定類別的行為與「對當事人造成某種傷害」、「使當事人有合理恐懼」此等特定類別的結果連結在一樣，使之難以直接用於起底行為之上。

更嚴重的是，起底行為基本上都是在各類網絡平台發布，而最有效的救濟就是由平台主動刪除或禁止存取相關資訊，這就使起底行為的規管變成了網絡平台如何設計及執行其「使用條款」的問題。如果沒有適當的法律框架去定義平台的責任，這就等於把對起底行為的管制從政府交到私營平台手上。

新西蘭、新加坡的案例

對於起底的流行，不少政府都開始立法處理，而即使在政府關注度不足的地方，特別是對於言論自由憲法保護程度極廣的美國，亦有法律學者小心提議預計不會與憲法第一條（即保障言論自由條款）相抵觸的條文。

例如在新西蘭，該國政府在2015年通過了《有害數碼通訊法》（Harmful Digital Communications Act），訂出10項「數碼通訊原則」，用以規管包括起底在內的網絡行為，當中包括「不能披露有關某個人的敏感個人事實」、「不能用於騷擾某個人」、「不能煽動或鼓勵任何人為了傷害某個人而對該人寄出訊息」等等。從這些內容可見，不少網絡起底行為將被包括在內。

亞洲互聯網聯盟（AIC）網站現公開致私隱專員信函（僅供英文）

在執行層面，新西蘭就成立了稱為「NetSafe」的非牟利機構處理相關投訴。首先，如果數碼平台在收到投訴後願意在48小時內取締相關內容，或通知作者相關投訴並由作者作出回應的話，即不必為該內容負上法律責任。但是如果事情未得解決，法院仍可作出取締內容的判決。

同時，《有害數碼通訊法》亦將同時滿足以下3個條件的行為刑事化：一、發布數碼訊息蓄意對受害人造成傷害；二、對任何處於受害人位置的普通理性人士而言，發布相關數碼訊息將造成傷害；三、發布相關碼數訊息對受害人造成傷害。而當中的「傷害」則被定義為「嚴重情緒傷害」。這種定義和標準其實與香港的修例建議類似，不過後者就沒有上述第二點的客觀合理性要求。

另外，新加坡政府也在2020年起落實了其對《免受騷擾法》（Protection from Harassment Act）的修訂，將起底行為明確地刑事化。首先，此修訂禁止任何人或實體，在有對他人造成騷擾、恐慌或困擾的意圖下，公布任何有關目標人士及其相關人士的具識別性資料，而此公布的確造成騷擾、恐慌或困擾。

同時，此修訂也禁止任何人或實體在知道或有合理理由相信公布具識別性資料會造成受害人相信非法暴力將會被使用，或有助此等暴力被使用的情況下，去公布此等具識別性資料。

除了犯者可面對刑期和罰款之外，法院也可以據此法禁止所謂的「互聯網中介」（即網絡平台）去中止對特定內容的存取，並提供匿名犯事者的具識別性資料。

類同的規管進路

上述例子有幾個共通點。首先，各國政府都透過補充原有的法律以更明顯的方法將起底行為包括在內，並將之置於刑事框架之下。

其次，在起底並未有明顯法律定義的背景下，各國都試圖以或寬或窄的方法去為此等行為作出刑罪定義。在新加坡的例子，即使公布具識別性資料的行為沒有造成受害人的騷擾、恐慌或困擾，只要此行為會讓受害人合理地相信會受暴力威脅，或者可被合理地相信會讓暴力更容易發生，此行為已屬違法。即是說，即使甲君在網絡上公布乙君的個人資料並沒有對乙君造成任何心理上或身體上的傷害，在此公布可被合理地相信會使非法暴力更容易發生的背景之下，甲君仍有可能違法。這可算是較為寬的定義。

相較之下，新西蘭的定義則較為狹窄，不只要求起底行為要讓人合理地相信其會造成傷害，還要求此行為真有造成心理傷害。此等較為狹窄的定義也與上述美國法律學者的提案類同。

但無論如何，這些刑罪定義都顯示出不少政府都開始認識到對起底作出針對性新刑罪規管的必要性，特別是在將發布數碼訊息或個人資料與造成傷害作出連結的層面上。

同時，無論是新西蘭，還是新加坡，它們都理解到網絡平台在規管起底行為中的重要角色，只是在具體的執行上面有所區別。新西蘭的立法較強調網絡平台作為一個中立平台的角色，只規定如果平台有在收到投訴後經過一套有時限的自願性處理程序，即不必為有涉嫌違法內容負責，而將相關內容的法律責任置於其作者之上。不過，如果平台不配合此自願性程序，則依然有可能要為內容負上法律責任。

相對而言，新加坡的立法則對法院可對網絡平台作出的命令給予較多空間，變相使這些平台要對其裝載的內容進行更多的管制，包括要求平台提供犯案者識別性資料等等。

從上述例子可見，修訂相關現有法律、提出新刑罪定義，以及劃定網絡平台的角色，皆是多國規管網絡起底行為的進路。雖然終點不必然一樣，但這些無論如何也正正是香港政制及內地事務局提出私隱條例修訂建議的路向。