close
企業趨勢業界專訪

分享偷情會員資料或犯法 新任私隱專員:小心朋友出賣你

近年私隱問題開始受到關注,一方面是大數據應用頻繁,另一方面是社交媒體造就「起底」現象,成為全球問題。早前新上任的香港個人資料私隱專員黃繼兒與傳媒茶聚,除分享了近期有關 Ashley Madision 會員資料外洩新聞的看法,更教讀者如何避開私隱陷阱。

unwire001

 

私隱專員公署近年受到不少挑戰

個人資料私隱專員公署近年受到不少挑戰,在蔣任宏在任期間就出現多次跟私隱有關的新聞,最轟動自是八達通涉嫌出售客戶資料牟利,還有名為「起你底」的手機應用讓人搜尋曾公開過的破產等個人紀錄,再加上近年接連出現的網路「起底」現象,都為私隱專員公署帶來挑戰。

自 8 月 4 日起正式上任的黃繼兒是執業大律師,接替蔣任宏出任個人資料私隱專員,任期五年。黃繼兒表示希望提高市民對公署的認識,並希望藉由茶聚讓傳媒和公眾對個人私隱相關法例有更深了解。

相信近期最熱門的私隱相關新聞,一定要數偷情網站 Ashley Madision 會員個人資料外洩。席間每家媒體都追問這問題,黃繼兒笑言在此之前根本未聽過、也沒想像過會有偷情網站的存在,但他承認這些放在外國的網站很難以香港的私隱條例有效規管。

 

涉事機構不在港難問責

他認為每一家機構在香港收集用戶的個人資料時,都必須遵重個人資料私隱專員公署的指引,在六個範疇均符合公署要求,即收集目的及方式、準備儲存和保留、合理使用、保安措施、透明度、查閱及更新。由於未有任何有關 Ashley Madision 事件的投訴,因此公署並未作調查,但承認如果資料的收集和外洩的地方都不在香港,就很難有什麼行動。

「因此私隱專員公署一直教育市民,要考慮清楚提供個人資料的對象機構,是否能付合公署的指引。在用個人資料註冊使用網上服務前要問自己,你是否相信這個網站能夠真的保護好你的資料?由於外洩了的個人資料就覆水難收,因此如果你不確保對方真的重視你的資料安全,就寧願不要使用他們的服務。」黃繼兒說。

現在經常說「世界是平的」,香港人能使用全球網站服務,現在的條例是否已不合時?黃繼兒不太同意有關說法,並指依據目前的私隱條例,如果該機構並不在香港,主動業務不在香港也沒有香港的據點,公署很難有任何動作,但如果相關人士來到香港的話,公署也是可以執法的,而公署也有法定權力主動調查。

unwire002

 

跨境電話騙案由警察處理

近期另一個熱門話題肯定是跨境電話騙案。騙徒會利用很多方法不斷套取受害人的個人資料,然後設局詐騙,新聞報導裡已有不少人中計。但黃繼兒指這本身已屬詐騙,相信更多人會選擇向警方報案而非向私隱專員公署投訴,若作出主動調查,說服力太低,因此署方並未有出手。

不過黃繼兒不認為署方被動,他指私隱專員公署會按私隱條例授予的責任、權力和既定機制,聯同所有有關人士保障個人資料私隱權,務求個人權利獲適當保障之餘亦保障資訊自由流通。若果案件涉及市民的個人私隱,公署會按賦予的權力和責任去做,而若果案件涉及刑事,公署亦會向有關部門提供協助。

不過黃繼兒也承認,IT 技術日新月異,現在的條例未必能滿足今天的需要,表示私隱專員公署一直都在研究檢討是否需要改善條例。但他指署方已在 2013 年修例加入「直銷」相關的條文,而條例也不能短時間後多次修訂,因此目前沒有打算就網上私隱方面作出修訂,並認為目前的條例已足夠為市民提供保障。

 

私隱定義是否擴闊需多方考慮

黃繼兒提到 IT 技術日新月異,事實上機構收集的使用者數據包括很多種類,由姓名、性別、年齡、身份證號等常見資料,到電郵、電話號碼、地址,再到現在大數據時代會收集消費習慣、個人行蹤等,隨著科技發展下消費者被收集的資料愈來愈多,今時今日的私隱條例否已足夠應付?私隱定義是否需要擴闊?

根據香港現行之成文法及普通法,只有「個人資料」可得到《私隱條例》的保障。而根據定義,「個人資料」是指任何可「直接或間接與一名在世的人有關的、可以切實可行地透過有關資料,直接或間接地確定有關個人的身分、及該資料的存在形式,讓人可切實可行地查閱及處理有關資料(例如是文件或影帶)」的資料。

換言之,一般情況下都泛指姓名、身份證號碼及指紋等,真的能完全確認當事人身份的資料才受到保護,而間接的如電話、地址、性別和年齡等能輔助辨認的也算。至於個人消費紀錄、GPS 行蹤則未包括在內。

而在 Ashley Madision 會員資料外洩事件中,洩露的正是會員的電郵帳號。據私隱專員公署首席律師郭美玲解釋,由於如果單單是電郵地址的話未必就能列為私隱,因電郵是能自訂和更改的,無法直接對應到當事人的身份。

但如果是機構網址結尾的話不是也能比對身份嗎?畢竟早前就有政府部門和傳媒機構電郵,被發現在 Ashley Madision 會員名單上,傳媒也很快能確認到當事人身份。就這問題郭美玲律師坦承「的確有灰色地帶」,需要再作研究才能定斷「電郵是否私隱」,而黃繼兒亦同意有需要再多作研究。

unwire005

 

傳播黑客外洩網站會員資料或已違法

如果這種「能夠辨認身份的電郵地址」能當作私隱,那在網路上分享、傳揚這些電郵,會否「也是侵犯私隱」?原來這情況更加複雜。根據目前私隱條例有六項保障資料原則,即前述的取得方式、準確性及保留期間、使用方式、保安、透明度、查閱及更新,違反原則便可能侵權。

而在 Ashley Madision 會員資料外洩一事上,固然黑客(如在港犯事)已違法,而在網上下載有關檔案並再分享出去的網民,黃繼兒認為亦有可能違法。

他解釋縱使 Ashley Madision 取得會員資料的方式合法,但由於黑客取得的方式不方法,這已經構成侵權,其後網民下載再散播亦不符合「資料使用用途」的條件,因此侵權機會極大,呼籲市民不要下載及散佈有關資料。

 

提醒應用開發者收集個人資料需合理

另一個跟 IT 界別有關的議題是應用程式取得使用者個人資料的問題。據公署提供數字,今年一月至六月共收到 838 宗投訴,其中涉及手機應用程式的投訴明顯上升。

去年 12 月公署就抽查了 160 款由本地機構開發的熱門流動應用程式,發現大部分的私隱政策透明度不足,未有清楚解釋程式會如何收集、使用和披露個人資料,私隱政策條文相關性低、難於閱讀及不易查閱。

當時公署更發現 Android 系統的權限模式有缺陷,程式可被編寫至在未有作出權限聲明的情況下,讀取Android 4.3或之前版本的流動裝置的公共記憶體。私隱專員公署資訊科技顧問張宗頤博士指已向 Google 反映有關問題,但對方回覆只在 4.4 及以後版本修正,認為 Google 並未重視餘下的舊版使用者。

而他亦提到 Google 已承諾在新的 6.0 版本加入權限控制的功能,使用者可以獨立停掉應用的某些權限,個人資料可以得到更多的保障。

黃繼兒表示公署有為應用程式開發者提供指引,歡迎開發者索取。公署只能對本港註冊的應用程式公司執法,以及管轄在本港運作的外國應用程式公司,至於操作及基地都在外國的公司,公署會與外國的私隱機構合作,轉介個案。

unwire004

 

小心朋友出賣你的私隱

黃繼兒表示,其實保護個人私隱的最大責任人還是自己,如果自己也輕忽的話就會撥水難收。他分享了自己的經驗,在到服裝店買新恤衫時就要邀請成為會員,要提供個人資料換取優惠。他指很多香港人都會貪便宜而把個人資料提供出去,而未考慮對方是否能妥善保管、運用你的個人資料。

他又提到,公署收到不少投訴個案,但後來當事人卻失蹤或是不再追究。黃繼兒指不少市民只是一時意氣而向公署投訴資料遭濫用,有個案就發現事主資料原來是被朋友出賣,有商户向客人推銷,只要提供額外兩個親友電郵或電話,就可額外獲得九折優惠。他形容類似個案屢見不鮮,公署會加強教育市民尊重及保護自己及他人私隱。

 

Tags : androidAshley Madisionpersonal data流動置頂
Catabell Lee

The author Catabell Lee

Leave a Response