個人資料 電訊商有幾多?(文﹕陳嘉文) (10:53)
2016/4/24

二○一○年,八達通爆出售賣客戶個人資料後,香港人好像提高了關注私隱的意識,在與機構簽服務合約前,總記得自己有權拒絕機構把自己的資料與第三方分享。

其他文章:以技術創新促進本土生態文明——再談新加坡的成功經驗 (文:關品方)

不過,中大新聞及傳理系助理教授徐洛文說,這其實並不足夠——人們大概沒留意,早在八達通事件發生的十五年前,法例早賦予我們有權向任何機構查問自己的個人資料被收集的情况,但一直以來,香港收集最多個人資料的各大電訊商,幾乎沒收過任何人的查問。

有法例 沒人用

數天前,研發大半年的「誰手可得」網站面世,徐洛文說,這是為了讓香港人更容易行使法律早已賦予的權利。早在一九九五年,《個人資料(私隱)條例》第18條已寫明「要求資料使用者告知他該使用者是否持有該名個人屬其資料當事人的個人資料」,而在八達通事件後兩年,條例亦規定機構有沒有持有該個人資料,都須在四十天內回覆。今年初,徐洛文曾與友人發信至幾個大型電訊商查問,「結果很有趣,它們明顯未曾收過類似的要求」。

個人資料 有價有市

徐洛文說,在個人資料的保障上,香港法律與其他國家比較,其實算是做得不錯,不過法律不能只停留在白紙黑字的層面,要執行、使用,我們才知道它實際可以給予多少保障。「它們收集了多少?儲存多久?有沒有與第三者『共享』過?」除了最傳統的個人資料如電話、地址、身分證號碼,現在人人機不離手,手機的網絡位址(IP Address)、地理位置(GPS location)、瀏覽紀錄,一些我們以為瑣碎至極的資料,電訊商很大可能其實都盡在掌握之中,而且多年來巨細無遺地存檔。存檔對它們有什麼好處?在互聯網發展初期,的確沒人在意,全球網民的數據資料只在一個汪洋大海中瑣碎地存在,看似可有可無。但在科技發展至可以分析大量數據後,這就是另一回事了。二○○八年,喬治城大學法學院教授兼私隱及技術研究中心主任保羅拉姆在論文中提出,社會裏沒有機構比網絡供應商更能威脅我們的私隱,處理大數據的技術已出現,他們能輕易地追蹤和分析我們的資料,掌握你什麼時候在哪裏、逗留多久、瀏覽了什麼網頁。

機構應設保障措施 提高透明度

香港的八達通事件,以及全球各地相繼出現的黑客盜取資料,反映個人資料在商業、政治、法律上都有價有巿,人們需要提高警惕。「其中一個方法是從程式上保護,例如最近Whatsapp開始實行點對點加密,可確保對話內容只有對話雙方知道,連Whatsapp也沒有解密鑰匙,第三方基本上無法合法地取得。第二個方法,就是從法律上保護,行使權利令擁有用戶資料的機構做更多保障措施。」人們除了可以查問機構擁有什麼資料,徐洛文認為機構亦需要設立一套機制,防止資料隨便地交到第三方手上。徐洛文在到中大教書前,曾在Google負責處理亞太區的言論自由事務(Head of Free Expression),指Google在這方面有較完善的機制,「Google向第三方提供個人資料前,會跟從早已公開的程序,例如第三方要先拿法庭命令,收到要求,Google不一定有求必應,還要仔細審視要求是否恰當,法庭命令是真是假?要求索取的資料是否太多、內容是否不恰當?」他說,香港法律是有了,但未有機構主動訂立程序、提高透明度,私隱專員甚至說執法機關毋須先拿法庭命令才要求電訊商提供資料。「政府近年說要發展創新科技,網絡發展只會愈來愈滲透至每一個角落,但人們對執法機關、政府的信任低迷的話,其實創新科技根本無從說起。趁時候還早,該盡早鞏固人們的信心。」

「個人資料」是什麼?

根據私隱專員公署的網頁,個人資料「是關乎一名在世人士,並可識別該人士身分的資料,資料存在的形式令資料可讓人切實可行地查閱或處理」,這包括個人姓名、電話號碼、地址、身分證號碼、相片、病歷和受僱紀錄等。

不過,別以為這定義已夠清晰,法律一天未執行過,也未必知道具爭議的地方在哪。年初,徐洛文曾去信不同電訊商查問個人資料,「地址、電話、病歷等,通話紀錄也沒多大爭議,通話紀錄包括你打給誰、什麼時候打、打幾耐。但他們說,你看過的網站紀錄,不是個人資料」。徐洛文認為,現階段電訊商與社會都未有共識,什麼算是個人資料,但是時候要起步討論。

仲有咩要知?

儲存資料多久﹕

「電訊商儲存個人資料,究竟會儲一年、抑或十年?為什麼不銷毁?用戶十分鐘前上過什麼網,抑或被儲下十年的紀錄,那威脅性差好遠。」

參考網址:按《個人資料(私隱)條例》,巿民可以填寫專用表格,向曾經收集其個人資料的機構組織查詢被收集的資料。不過,徐洛文認為,表格長且複雜,不容易操作,於是與關注網絡公民權益的加拿大組織Citizen Lab共同研發香港版的「誰手可得」,網站讓人可以用簡單的方法草擬相關信件,網址為﹕accessmyinfo.hk

相關法例

《個人資料(私隱)條例》自1995年已制定,至1996年12月實施。《個人資料(私隱)條例》第18條中列明,任何人都可以要求資料使用者告知(如電訊商)是否持有當事人的個人資料,若持有,可要求提供複本;另外,第19條規定,資料使用者(如電訊商)若收到查閱資料的要求,須在40日內以書面回覆。

其他文章:【網絡安全】自己資料自己攞(文:徐洛文)

其他文章:我是離地中產!(文:袁海文)

圖﹕網上圖片

(原文載於2016424日《明報》星期日生活。文章為作者觀點,不代表《明報》立場)

十大熱門
一周十大