300萬香港Facebook用戶資料外洩　私隱公署卻束手無策

超過五億Facebook用戶個人資料遭外洩，當中近294萬來自香港。與以往案例的最大分別，是牽涉的資料齊全，包括不常變更的流動電話號碼，而且資料不需要專業技術也能取得。資料外洩無法挽回，民間和各地監察機構只能盡力減少其傷害，可惜，就香港而言，因着職權所限，港人難以寄望個人資料（私隱）專員公署能有力提供保障。

事件在本月３日（周六）被廣泛報道，但各地政府和監督機構均對近日的外洩事件可謂束手無策。這不是單指外洩已成定局，而是指外洩的資料庫早於2018和2019年已經出現，及至今年1月及近日分別放在自動程式和黑客論壇，取閱資料的方法愈來愈容易。不少資訊保安專家估計這批海量資料庫已經轉手多次，早已落入黑客和企業手上。

連GDPR也沒辦法

既然過失從Facebook產生，外界期望法規能令Facebook負上一定責任。然而，據愛爾蘭資料保障公署的新聞稿指出，近日外洩的資料，絕大部分在2017至2018年間被收集，早於歐盟《通用數據保障條例》（GDPR）生效之時。這意味着歐盟未必能循GDPR的罰款機制追究Facebook的責任。

再者，因為資料庫相當整全，除了名稱、位置和出生日期外，部分還有電話號碼和電郵地址，不法分子可輕易盜取他人身份，用於核證資料、冒充他人欺詐、滋擾他人和電話電郵促銷。當被譽為相當嚴厲的GDPR也對今次外洩愛莫能助，難以預期其他地方可以懲罰Facebook。

避免外洩資料遭濫用　私隱公署須擴權

在香港，私隱公署也迅速行動，先於4日（周日）已經聯絡Facebook在香港的辦事處，並已去信Facebook就事件展開循規調查，包括提醒對方盡快通知受影響用戶，以減低由此產生的風險，又鼓勵懷疑資料被洩的用戶向私隱公署查詢或投訴。另外，公署剛亦發布指引，具體建議市民減低使用社交媒體和即時通訊軟件的私隱風險。

然而，公署的舉措不足令外界放心。這不是公署失職，而是公署的權力過小，而且對濫用個人資料者的阻礙力有限，對公署難有期望。這見諸於公署不能強制企業通報個人資料外洩事件，亦缺乏刑事調查權及施予行政罰款等措施的執法權。

政府年初表示會修例把「起底」行為刑事化，以及賦予專員在「起底」範疇內刑事調查和檢控權力，並爭取於暑假前提交議會審議。坊間有意見擔憂刑事化會打擊合法的偵查採訪、揭露真相，但現時「起底」亂象未止，人人自危，只要法例有適當豁免，相信能平衡私隱和公眾知情權。至於賦予公署域外執法權以防止海外網絡平台儲存個人資料，私隱公署稱未能趕及立法會會期前完成修例，望政府切勿耽擱，盡快把之完成。

相較之下，針對今次Facebook個人資料外洩事件，誠然強制通報制度的效用有限，但這不表示機制在日後措施無用。有了機制，日後機構定當加緊管理用戶個人資料，萬一資料不幸外洩，用戶亦能在短時間被知會，而公署亦可按規例罰款，懲處機構。歐盟、美國和澳洲等政府已要求企業強制通報個人資料外洩。

在香港，自2018年國泰航空多番拖拉後才公布約940萬位乘客資料外洩後，坊間已要求加入強制通報制度，可惜後來不了了之。Facebook案例再次證明政府不可怠慢，而且還要加入兩項重要條件在機制內，一是把機制覆蓋在港經營業務或在香港收集和持有個人資料的機構，二是延伸機構通報範圍至與機構相當程度相關的個人資料，即使該等資料不是直接由機構外洩。

社交媒體掌握海量個人資料，稍一不慎容易爆發私隱災難。香港需要強而有力的私隱公署，才可令企業戒慎恐懼，小心管理個人資料，阻止數據外洩和被濫用。