分享偷情會員資料或犯法　新任私隱專員：小心朋友出賣你

企業趨勢業界專訪 by Catabell Lee on 31 八月, 2015

近年私隱問題開始受到關注，一方面是大數據應用頻繁，另一方面是社交媒體造就「起底」現象，成為全球問題。早前新上任的香港個人資料私隱專員黃繼兒與傳媒茶聚，除分享了近期有關 Ashley Madision 會員資料外洩新聞的看法，更教讀者如何避開私隱陷阱。

私隱專員公署近年受到不少挑戰

個人資料私隱專員公署近年受到不少挑戰，在蔣任宏在任期間就出現多次跟私隱有關的新聞，最轟動自是八達通涉嫌出售客戶資料牟利，還有名為「起你底」的手機應用讓人搜尋曾公開過的破產等個人紀錄，再加上近年接連出現的網路「起底」現象，都為私隱專員公署帶來挑戰。

自 8 月 4 日起正式上任的黃繼兒是執業大律師，接替蔣任宏出任個人資料私隱專員，任期五年。黃繼兒表示希望提高市民對公署的認識，並希望藉由茶聚讓傳媒和公眾對個人私隱相關法例有更深了解。

相信近期最熱門的私隱相關新聞，一定要數偷情網站 Ashley Madision 會員個人資料外洩。席間每家媒體都追問這問題，黃繼兒笑言在此之前根本未聽過、也沒想像過會有偷情網站的存在，但他承認這些放在外國的網站很難以香港的私隱條例有效規管。

涉事機構不在港難問責

他認為每一家機構在香港收集用戶的個人資料時，都必須遵重個人資料私隱專員公署的指引，在六個範疇均符合公署要求，即收集目的及方式、準備儲存和保留、合理使用、保安措施、透明度、查閱及更新。由於未有任何有關 Ashley Madision 事件的投訴，因此公署並未作調查，但承認如果資料的收集和外洩的地方都不在香港，就很難有什麼行動。

「因此私隱專員公署一直教育市民，要考慮清楚提供個人資料的對象機構，是否能付合公署的指引。在用個人資料註冊使用網上服務前要問自己，你是否相信這個網站能夠真的保護好你的資料？由於外洩了的個人資料就覆水難收，因此如果你不確保對方真的重視你的資料安全，就寧願不要使用他們的服務。」黃繼兒說。

現在經常說「世界是平的」，香港人能使用全球網站服務，現在的條例是否已不合時？黃繼兒不太同意有關說法，並指依據目前的私隱條例，如果該機構並不在香港，主動業務不在香港也沒有香港的據點，公署很難有任何動作，但如果相關人士來到香港的話，公署也是可以執法的，而公署也有法定權力主動調查。

跨境電話騙案由警察處理

近期另一個熱門話題肯定是跨境電話騙案。騙徒會利用很多方法不斷套取受害人的個人資料，然後設局詐騙，新聞報導裡已有不少人中計。但黃繼兒指這本身已屬詐騙，相信更多人會選擇向警方報案而非向私隱專員公署投訴，若作出主動調查，說服力太低，因此署方並未有出手。

不過黃繼兒不認為署方被動，他指私隱專員公署會按私隱條例授予的責任、權力和既定機制，聯同所有有關人士保障個人資料私隱權，務求個人權利獲適當保障之餘亦保障資訊自由流通。若果案件涉及市民的個人私隱，公署會按賦予的權力和責任去做，而若果案件涉及刑事，公署亦會向有關部門提供協助。

不過黃繼兒也承認，IT 技術日新月異，現在的條例未必能滿足今天的需要，表示私隱專員公署一直都在研究檢討是否需要改善條例。但他指署方已在 2013 年修例加入「直銷」相關的條文，而條例也不能短時間後多次修訂，因此目前沒有打算就網上私隱方面作出修訂，並認為目前的條例已足夠為市民提供保障。

私隱定義是否擴闊需多方考慮

黃繼兒提到 IT 技術日新月異，事實上機構收集的使用者數據包括很多種類，由姓名、性別、年齡、身份證號等常見資料，到電郵、電話號碼、地址，再到現在大數據時代會收集消費習慣、個人行蹤等，隨著科技發展下消費者被收集的資料愈來愈多，今時今日的私隱條例否已足夠應付？私隱定義是否需要擴闊？

根據香港現行之成文法及普通法，只有「個人資料」可得到《私隱條例》的保障。而根據定義，「個人資料」是指任何可「直接或間接與一名在世的人有關的、可以切實可行地透過有關資料，直接或間接地確定有關個人的身分、及該資料的存在形式，讓人可切實可行地查閱及處理有關資料（例如是文件或影帶）」的資料。

換言之，一般情況下都泛指姓名、身份證號碼及指紋等，真的能完全確認當事人身份的資料才受到保護，而間接的如電話、地址、性別和年齡等能輔助辨認的也算。至於個人消費紀錄、GPS 行蹤則未包括在內。

而在 Ashley Madision 會員資料外洩事件中，洩露的正是會員的電郵帳號。據私隱專員公署首席律師郭美玲解釋，由於如果單單是電郵地址的話未必就能列為私隱，因電郵是能自訂和更改的，無法直接對應到當事人的身份。

但如果是機構網址結尾的話不是也能比對身份嗎？畢竟早前就有政府部門和傳媒機構電郵，被發現在 Ashley Madision 會員名單上，傳媒也很快能確認到當事人身份。就這問題郭美玲律師坦承「的確有灰色地帶」，需要再作研究才能定斷「電郵是否私隱」，而黃繼兒亦同意有需要再多作研究。

傳播黑客外洩網站會員資料或已違法

如果這種「能夠辨認身份的電郵地址」能當作私隱，那在網路上分享、傳揚這些電郵，會否「也是侵犯私隱」？原來這情況更加複雜。根據目前私隱條例有六項保障資料原則，即前述的取得方式、準確性及保留期間、使用方式、保安、透明度、查閱及更新，違反原則便可能侵權。

而在 Ashley Madision 會員資料外洩一事上，固然黑客（如在港犯事）已違法，而在網上下載有關檔案並再分享出去的網民，黃繼兒認為亦有可能違法。

他解釋縱使 Ashley Madision 取得會員資料的方式合法，但由於黑客取得的方式不方法，這已經構成侵權，其後網民下載再散播亦不符合「資料使用用途」的條件，因此侵權機會極大，呼籲市民不要下載及散佈有關資料。

提醒應用開發者收集個人資料需合理

另一個跟 IT 界別有關的議題是應用程式取得使用者個人資料的問題。據公署提供數字，今年一月至六月共收到 838 宗投訴，其中涉及手機應用程式的投訴明顯上升。

去年 12 月公署就抽查了 160 款由本地機構開發的熱門流動應用程式，發現大部分的私隱政策透明度不足，未有清楚解釋程式會如何收集、使用和披露個人資料，私隱政策條文相關性低、難於閱讀及不易查閱。

當時公署更發現 Android 系統的權限模式有缺陷，程式可被編寫至在未有作出權限聲明的情況下，讀取Android 4.3或之前版本的流動裝置的公共記憶體。私隱專員公署資訊科技顧問張宗頤博士指已向 Google 反映有關問題，但對方回覆只在 4.4 及以後版本修正，認為 Google 並未重視餘下的舊版使用者。

而他亦提到 Google 已承諾在新的 6.0 版本加入權限控制的功能，使用者可以獨立停掉應用的某些權限，個人資料可以得到更多的保障。

黃繼兒表示公署有為應用程式開發者提供指引，歡迎開發者索取。公署只能對本港註冊的應用程式公司執法，以及管轄在本港運作的外國應用程式公司，至於操作及基地都在外國的公司，公署會與外國的私隱機構合作，轉介個案。