lego logo
雲端時代的數據轉移(信報「專業為公」專欄)
2015-09-07

最近,有黑客把盜取得來的跨國偷情網站Ashley Madison的用戶資料放到網上,加上內地詐騙集團猖獗,令私隱和資訊安全問題備受關注。用戶利用網上服務之前,一般未必仔細閱讀服務協議,從而了解自己的個人資料如何被收集、儲存和使用。

未來經濟發展將愈趨數碼化,尤其是傳統行業,均須用上數據創新推動發展。我們每天運用的科技產生大量數據,令每家公司的業務少不免與數據的收集、儲存和處理有關。

估計現今的企業,不論規模大小,也會蘊藏大量客戶數據;從事跨國業務的企業,也須通過跨國數據傳輸與客戶和供應商接觸;企業亦要利用數據改善流程、提升服務、使用雲端服務或分析數據。

《個人資料(私隱)條例》於1995年制定,當中的第33條,為轉移個人資料至香港以外地方的行為作出規管,至今尚未實施。條例要求資料使用者採取多項措施,例如資料接收者須位於專員指明的司法管轄區(即「白名單」),或該地方有相當於本港的私隱保障法例、當事人書面同意轉移、該轉移的目的是保障當事人資料或獲取書面同意並不切實可行。個人資料私隱專員公署2014年底發出《保障個人資料:跨境資料轉移指引》,為機構與海外處理資料提出建議,而政府現正預備實施該條文的準備工作。

不少企業和個人均有採用網上服務,這些資料實際上會儲存哪裏?

現在人人都利用雲端服務,例如把照片和影片備份到Google Photos,或把文件上傳到Dropbox,甚至上傳智能手帶或手錶產生的數據,這便相當把資料傳出海外,儲存到外地的伺服器內。

若一名在港執業的醫生須在外地存取香港數據庫內的病人病歷,表面上已經屬於《私隱條例》第33條的範圍。

網上服務互聯互通,要限制用戶的資料傳送或得到同意才能傳出都不是易事;當年制定法例時,根本未有預料將來每人手上都有一部如「超級電腦」的智能裝置。在經濟高度互連的數碼經濟中實施窒礙資訊流通的法例到底是否仍合適,對科技或其他行業會帶來什麼影響?

第33條規管數據流出,原意雖好,但執行上卻困難重重。影響可以從兩個方面分析:一、會為本港企業的運作造成額外負擔,如企業內部牽涉客戶的資料若儲於海外數據中心或透過海外第三者加工或分析,均須事先簽訂協議;二、此例生效,或令本地的雲端服務供應商和數據中心服務需求增加。

無論如何,可以預見的是,兩者可能會提高營運成本,額外成本有機會轉嫁消費者或影響企業利用數據的靈活和創新程度,間接影響本港企業在科技運用方面的競爭力。

現時各國也有不同程度的「數據保護主義」,雖然本港的第33條未如部分國家般禁止某些行業或公共相關的數據外流,但「白名單」制度會否對本港創新行業造成新的局限?20年前寫下的法例,應考慮瞬息萬變的數碼化經濟和實際情況,以免形成未來的Uber事件翻版。

立法會(資訊科技界)議員

Office Of Hon. Charles Mok, Legislative Councillor (IT)