lego logo
數據時代下更新私隱條例(信報「專業議政」專欄)
2017-11-09

3天前,香港縱橫遊旅行社遭黑客入侵電腦,盜取客戶資料,並以電郵勒索,要求交付贖金後才可解鎖系統。據報數十萬客戶的姓名、身份證號碼、信用卡資料、地址等敏感資料已落入黑客手中,那是極度嚴重的私隱外洩事故。

 

目前,香港私隱條例的懲罰阻嚇力不足,私隱專員的執行權力有限,也沒有明確的資訊保安標準和通知要求,情況可能像今年3月27日選舉事務處遺失電腦的選民資料一樣,最終不了了之,沒人須負責任。

 

政府今年將公布「香港智慧城市藍圖」,也宣布將投放7億元發展基礎建設,包括為所有香港居民提供數碼個人身份,讓市民以數碼身份和認證進行網上交易;又會選定地點試驗多功能智慧燈柱,收集各類實時城市數據,加強城市及交通管理,並設立大數據分析平台。這些項目對私隱的影響為何,值得我們關注。

 

智慧城市藍圖公眾諮詢期間,筆者曾遞交意見書,指智慧城市必須以人的需要為本,而並非只從技術、經濟,甚至程式出發,重視市民的需求和人權,鼓勵討論和表達意見。發展智慧城市的目標,除了較多人提及的利用科技達致社會、環境、經濟和城市管理的目的,有什麼基本原則須重視?答案是開放中立、透明問責、私隱安全、尊重人權自由、維護社會公平公義、促進公民充權、改善政府管治等。

 

倡議組織國際私隱機構(Privacy International)10月底發表一份有關智慧城市與私隱的專題報告(Smart Cities: Utopian Vision, Dystopian Reality),深入探討各國對智慧城市的願景和落實方式,並提出有關保障私隱和人權的建議。該報告指出,若操控智慧城市的機制缺乏透明度和問責,收集數據而不當使用的機會將會大增。

 

2016年底,倫敦地鐵曾以WiFi追蹤乘客位置,追蹤將愈來愈普遍,而位置資訊亦可能售予第三者。內地公安部正大力推動全國人臉識別監控系統。上月十九大前,這個「天網」其中的最大用途是,阻止不滿的百姓上訪。技術若在香港用作政治用途,例如偵測集會,將對表達自由和民主造成寒蟬效應。

 

私隱條例更新4要點

 

未來智慧城市的發展背後,將牽涉前所未有的龐大數據收集,我們要在不同階段確保對數據的控制;最重要的是,在項目實行之初,以法例和技術框架確保私隱,並有足夠的審計監察。

 

歐盟將於2018年5月起,實施更嚴格的個人資料保護規則(GDPR),筆者日前參與由香港互聯網協會主辦的研討會,探討GDPR對本港企業的影響。個人資料私隱專員公署首席法律顧問比較本港私隱條例與歐盟GDPR時,表示發現兩者有九大分別:法例在境外的應用、問責性、資料洩漏強制通知、定義敏感個人資料、同意、資料處理者的責任、新增和加強資料當事人權利、認證和加強罰則。

 

香港大學法律系張善喻教授對本港應如何更新《私隱條例》的見解值得參考。她指出,即使數據經過「去識別化」,亦有技術可以把個人資料復原和辨認身份。GDPR對個人資料的定義擴大,位置、生物辨識資訊(如指紋)、網上識別(如瀏覽器cookie)、智能手環收集的健康資訊和醫療紀錄等,均屬於個人資料。

 

不少網上服務都會收集用戶數據,然後利用程式自動剖析(profiling),例如審批信貸和求職申請,歐盟新法例要求須為用戶提供退出的選項。張教授認為,《私隱條例》更新要留意4個要點:個人資料定義、取得個人資料、同意、資訊安全。香港《私隱條例》訂立已超過20年,在智慧城市發展運用大數據、機器學習、人工智能的年代,個人資料、私隱和相關數據的保障至為重要,我們須盡快更新相關條例,與時並進,保障個人私隱。

 

Office Of Hon. Charles Mok, Legislative Councillor (IT)