lego logo
私隱保障制度須全面檢視 (信報「專業議政」專欄)
2018-11-07

自上月25日國泰航空首次披露有900多萬乘客的資料外洩後,以避免公眾出現「不必要」恐慌及進行調查需時為由,延遲公布事件近半年令乘客震驚,更成為國際新聞。目前個人資料私隱專員公署表示已展開調查,至於下一步調查和結果仍有待觀察。

 

個人資料外洩事件一次比一次嚴重,到底香港法例對個人資料的保障是否足夠應對科技的發展?今年5月起,在歐盟生效的《通用數據保障條例》(GDPR)引入更多權利和義務,廣泛討論;社會上逐漸意識到香港現有的私隱條例在科技快速進步之下,有需要再次進行檢討,令法例與時並進,平衡保護個人資料和其他權利,例如資訊自由和新聞自由。

 

《個人資料(私隱)條例》於1996年生效,香港屬於亞洲最先擁有個人資料保障法例的地區之一,當時而言,可謂領先;而20多年前的互聯網科技應用仍在初期。2010年八達通公司被揭發多年來把大約200萬客戶的個人資料售予第三者以套取巨利,事件觸發的修例諮詢終於2012年和2013年起實施。

 

然而,接近10年過去,創新科技應用例如機械人、人工智能、機器學習、大數據、區塊鏈應用等,以至其他新科技應用模式,對私隱保障制度影響深遠。

 

香港政府近年加快在各層面推動使用科技,最新例子有特首在《施政報告》中提及的「智慧監獄」計劃,試驗在壁屋監獄數個囚倉利用電腦程式,分析閉路電視拍得的錄像,以偵測囚犯有否不尋常或帶侵略性的行動;又會引入智能手帶,偵測病房的囚犯的健康情況。在期望運用科技能夠改善民生和創造經濟效益的同時,卻未見大力推動創新科技的特區政府,以同樣重視的態度研究怎樣確保私隱保障能夠追上科技發展。

 

在外國,愈來愈多研究開始探索新科技趨勢和應用,如何影響現有的個人資料保護法例。各行各業,例如銀行金融界開始在業務中引入人工智能,通過分析客戶行為模式,訓練銀行的人工智能系統偵測詐騙;透過大數據挖掘和深度分析等方法預測問題,並利用懂得自我學習的演算法作出決定。

 

市民要保護自己權益

 

大數據技術的應用,無可避免地與私隱保障法例內有關限制資料用途、儲存最少個人資料的要求和保存個人資料的規定出現牴觸。隨程式自我改進和更大量數據被結合,創造程式的人未必完全能夠了解演算法的決定。例如保險公司透過消費、運動習慣,甚至其他途徑得到的資料,決定收取較高的醫療保費,市民怎樣保護自己的權益?

 

我們身邊愈來愈多物件可以連接上網,從音響系統、電視、雪櫃、照明、冷氣,到穿戴式裝備如智能手錶。這些裝置都可以蒐集用戶行為的數據。隨技術發展,生物辨識技術亦變得普及,不少智能手機能以臉部、指紋甚至虹膜識別解鎖;亦有新技術可透過用家網上行為習慣特徵而辨認身份,例如正在進行銀行交易的是否客戶本人。結合不同來源數據配合行為特徵,是否可辨認個人身份,而受到法例規管?資料去識別化和加密需要達到怎樣的程度,才能保障資料安全?

 

香港目前的私隱條例中需要研究更新的問題,已經遠超近10年前諮詢的範圍,亦不止於國泰事件中受到廣泛關注的私隱洩漏事件通報責任和資料處理者不受規管的問題。科技應用方式日新月異,市民對私隱的關注已愈來愈高,我們固然不能因私隱關注而通通禁止。

 

我希望政制及內地事務局、創新及科技局、個人資料私隱專員公署等能進行跨部門的研究,令私隱法例能夠跟得上科技發展的步伐,保障市民的個人資料,也適當地幫助創新應用能夠繼續發展。

Office Of Hon. Charles Mok, Legislative Councillor (IT)