【個人私隱】個人資料難定義 港規管仍停留在前互聯網時代

撰文:陳嘉慧
出版:更新:

美國大熱的網上驚慄劇《黑鏡》中,有這樣一個故事:在不久的未來,有技術可保存人的全部記憶,劇中主角因偏執猜疑,沉迷觀看記憶錄像,終致妻離子散。劇中探討個體如何自作自受,但未有拷問的是,究竟誰擁有這項技術?誰持有其產生的海量數據?科技公司會如何處理個人私隱?這些公司又應該負起哪些責任?你的數據不是你的,是我們正面對的問題。當人人24小時手機不離身,不論是發布社交媒體動態,還是上網查地圖或天氣,你的每一個行動都會被智能手機記錄下來,傳送至雲端並串聯成無數個數據集,甚至在不同公司的手中流轉。究竟用家會如何受到影響?《你的數據不是你的 個人私隱保障成疑》系列二之二

走在香港街頭,不難發現手機程式以各種優惠作招徠的廣告,例如電子支付程式經常以現金優惠吸引新用家下載程式使用。即使沒有優惠券,大多數人都會認為可以使用程式提供的免費服務已算是「着數」。

這些企業可從一個用家身上賺多少錢?以Facebook為例,上季度收入151億美元,即平均從每名用家身上獲得約6美元收入。英國《金融時報》曾報道,在數據市場上,每1,000人的一般資料只售0.7美元(5.5港元),即一人數據只值0.005港元。從每名用家平均收入(Revenue per User)來看,似乎是用家更賺?香港中文大學新聞與傳播學院助理教授徐洛文認為,企業從一個用家身上賺取的金額看似不多,然而互聯網更多是靠「量」賺錢,即企業透過提供免費服務,再收集用家數據賺取盈利,只要用家數量夠多,收入就有一定份量。他指出,如此商業模式令人們只會依賴某幾家大網站,例如Facebook及Google等,形成互聯網中心化的局面,「科技依然是去中心化,每個人都可以設立自己的網頁,但人們會經常到訪的網站則非常中心化。」而這些大公司又繼續收集個人數據,並覆蓋不同面向。

↓ App數據權限測試機 ↓

個人資料由誰定義?

徐洛文認為,本地公司的數據使用透明度普遍不足,人們無從得知自己的數據將如何被傳送或分析。他曾做過研究,向本港的電訊公司索取自己的IP地址及地理位置數據,惟當時竟被告知IP及地理位置不是個人資料。他指出,即使數據沒有寫明是誰的,但只要記錄時間夠長,也可辨別一個人的身份。拉鋸多年,徐洛文才爭取到部分電訊公司白紙黑字列明個人資料的範圍。他指本港這些爭議一般都要交由法庭定奪,大公司因有法律團隊,在法庭上通常更佔優勢;當一項數據被認定不是個人資料,便不受法律保障,企業可以隨時與第三方分享,甚至買賣。用家在是否交出數據這件事上,有決定權嗎?答案可以是「有」,因為用家在首次使用某一個手機程式時,可以先細閱私隱政策文件,然後選擇是否「同意」條文和決定是否繼續使用該程式。

走在香港街頭,不難發現手機程式以各種優惠作招徠的廣告,例如有電子支付程式經常以50元現金券吸引新用家下載程式使用。﹙鄭子峰攝/資料圖片﹚

徐洛文指出,法律上這個「同意」很具份量,因為法律尊重人在清醒的情況下做出的理性選擇,但這種「同意」一直極具爭議。例如,若用家選擇「不同意」時,便不可繼續使用該程式,這是否真的算有選擇?加上,私隱政策文件通常冗長、複雜,一般人不易理解。

徐洛文引述美國學者Joseph Turow的研究指,消費者考慮是否提供數據時,多數人並不認為自己有選擇,只是無可奈何接受私隱條款,「消費者並非不關注(私隱),只是早已放棄。」除此之外,許多用家抱有「我又沒做錯事,我怕什麼?」,即「我沒有什麼需要隱藏」的態度。徐洛文解釋,私隱不同於一塊麵包可以明碼標價,很難定義私隱的價值。

他續指,私隱外洩所帶來的傷害亦難以量化。雖然有人提出,當一個人知道自己的私隱被別人窺探,已可感到被傷害,不一定要等到資料外洩帶來實質影響後才算傷害。但在實際情況下,例如早前選舉事務處被揭兩年前遺失選民登記冊,還未出現相關影響或事件,反方又會問,這究竟損害了誰,損害了什麼?

如何減少私隱外洩?徐洛文觀察到,個體可採取的應對方式主要有兩類,一是科技,二是金錢,即使用私隱保障程度更高的應用及軟件,又或者花更多錢去使用不以收集個人私隱作商業模式的服務。問題在於現時甚少人選擇這些替代方案。以通訊工具為例,雖然有更保障私隱的應用,但如果身邊沒太多朋友使用,一般人也不會選用。

眼看為了追求平等、去中心化狀態而誕生的互聯網正走向另一極端,互聯網之父伯納斯李(Tim Berners-Lee)最近提出一個解決方案—Solid,一個去中心化的數據平台,用家可將自己使用網絡時所產生的數據上傳,再決定將數據交給誰。伯納斯李期望,用家將重拾自己對數據的控制權及擁用權。

徐洛文曾經做過研究,向本港的電訊公司索取自己的IP地址及地理位置數據,惟當時竟被告知IP及地理位置不是個人資料。﹙香港中文大學網站圖片﹚

港停留在前互聯網時代

二十多年前,當局因商業考慮而訂立《條例》。1995年,歐盟要求會員國在與其他國家經商時,需考慮當地有無類似的私隱保障制度,本港於是訂立相關條例以達到對方要求,惟這一條例沿用多年卻鮮有修訂。如今科技及市場環境均有大改變,全球已由前互聯網時期,走過互聯網時代,來到人工智能大數據時代。數據來源及處理已有天翻地覆的變化。

歐盟在去年推出GDPR以應對科技發展、全球化等外在環境對個人資料保障帶來的威脅。GDPR被喻為史上最嚴個人資料保護法,引入多項資料當事人的新權利,包括被遺忘權、資料擁有權及㩗帶權、機構及企業在收集個人資料前必須得到當事人同意等。如資料處理者違反條例,可被判處高達2,000萬歐元或企業全球年度營業額4%的罰款。

反觀香港,專責監察《條例》施行的個人私人資料私隱專員公署,經常被形容為「無牙老虎」。因為不具施加行政罰款及刑罰的權力,私隱專員只能向違反資料保障原則的資料使用者發出執行通知。當這些違反條例的機構或企業,在收到執行通知後,不採取補救措施,才算干犯刑事罪行。去年底,國泰航空爆出影響940萬人的嚴重個人資料外洩事件,黃繼兒其後在立法會特別會議上表示,正與政府檢討《條例》,並指會於今年上半年發布相關文件。

修例面臨困難

徐洛文認為,不同地方的私隱專員有不同權力,權力較弱的地方通常商業考量就多一點,香港正屬此例。他舉例指,本港的私隱專員不能自己決定調查對象,一般需要接到投訴才可開展調查。公署在回覆本報時表示,在應對私隱問題時,會同時平衡個人資料保障和便利營商與創新發展。

本港若要跟隨歐盟,改變沿用二十多年的制度亦不容易。徐洛文指,香港有太多「有趣」的問題,包括如何應對GDPR,如何應對內地市場;當年訂立《條例》主要是為了與歐盟看齊,而現在則同時要考慮歐盟和內地市場。

關於內地市場,另一個無解的問題是規管個人資料跨境轉移的《條例》第33條至今仍未實施。徐洛文認為這件事短期內不會有進展,「你不可能寫一個條文去支持內地公司將個人資料傳送到內地,而內地對個人資料的保障比香港更弱。另一方面,如果這件事一直不解決,又很難和其他地方做生意。」

徐洛文建議:. 使用點對點加密的通訊工具, 首選Signal,WhatsApp、Telegram 亦提供類似功能. 盡量使用雙重認證(Tw o - Factor Authentication)登入功能.登錄Have I Been Pwned網站,查詢有否被黑客盜用密碼的帳號,盡快更改密碼賴灼東建議:.有需要可使用兩部電話,一部專門用於處理工作及重要個人訊息,而另一部則安裝游戲等安全漏洞或較多的應用.封鎖網頁Cookie.定期更新應用程式.留意應用程式使用了哪些非必要權限,當有懷疑時,可向廠商詢問或瀏覽政府的資訊安全網私隱專員提醒巿民「自保」:.查明應用程式的《私隱政策聲明》和《收集個人資料聲明》,了解程式會查閱、上載或分享哪些資料,再決定是否選用及安裝.在安裝後應不時檢視程式的權限設定,並限制其讀取不必要的個人資料,如通訊錄和短訊資料

立法、規管方面的缺失,亦間接導致本港企業對數據保護的不重視。德勤及特許公認會計師公會2016年的調查發現,香港公司在資訊安全方面的投入度低,有近四分之一的受訪公司未將這重點領域納入未來三年的財政預算範圍。此外,高達四成的受訪企業首席財務官(CFO)及首席信息官(CIO)並不清楚所在公司是否有撥備專門的資訊安全開支預算。

企業不重視資訊安全,導致其容易受到黑客攻擊,嚴重的數據盜竊及洩漏事件近年時有發生。國泰航空去年乘客資料外洩,涉及身份證、護照及信用卡號碼等等。去年初,香港寬頻亦爆出舊伺服器遭到黑客攻擊,影響近四十萬舊客戶。用家的數據不單止不是用家的,更調轉頭傷害他們。港府若不盡快完善相關法律,難道指望企業自律?

上文節錄自第164期《香港01》周報(2019年5月27日)《數據保護法規滯後 個人私隱保障成疑》。

相關文章:【個人私隱】你的數據不是你的 個人私隱保障成疑

更多周報文章︰【01周報專頁】《香港01》周報,各大書報攤、OK便利店及Vango便利店有售。你亦可按此訂閱周報,閱讀更多深度報道。