資料圖片,來源:Chris Yang @ Unsplash

反起底法與個人資料

立法會在 8 月底就「起底」問題完成審議《2021 年個人資料(私隱)(修訂)條例草案》(下稱條例),並預計 10 月 13 日恢復二讀辯論。在二讀還未開始前,區域法院正在審判一項藉公職作出不當行為罪,及十八項屬交替控罪的不誠實取用電腦罪。

「反起底法」雖未正式出台,但早前已有外媒爆料,一旦香港政府按計畫進行資料保護法修訂,各大科技企業包括 Facebook、Google 及 Twitter 等有可能停止向香港用戶提供服務。原因當然是不希望為用戶行為而負上法律責任。

條例於 1995 年通過,並於 1996 年 12 月正式生效。條例曾於 2012 年進行重大修訂,主要針對使用個人資料作直接促銷的新規定,並為應對私隱保障工作的新挑戰和公眾關注而加入更多保障。

根據修訂草案,如果「起底」者意圖或罔顧導致當事人及其家人受到滋擾、威脅等傷害,經定罪後最高面臨 100 萬港元罰款和監禁 5 年。要對「起底」有多一點了解,應先了解那個「底」是指些什麼。條例中註明了數個定義

一、「個人資料是指與一名在世人士有關及可確定個人身份的資料,亦必須以可供查閲及處理的方式記錄下來。」簡單來說,個人資料包括姓名、電話、地址、出生日期、甚至指紋。假若這一至多項資料能讓人辨認出一個人的身份,那組資料便被定義為個人資料。如果只有名字「陳大文」及其性別為「男性」,相信並不在此列,因為世上可能有多位「陳大文先生」。

二、「資料當事人是指屬於相關個人資料的當事人的個人。」這點應該簡單易明。

三、「資料使用者是指控制個人資料的收集、持有、處理或使用的人,不論是獨自還是聯同其他人共同控制。」有沒有想過,去看病之時,醫生把你的病歷輸入到電腦系統中,那個病歷紀錄是屬於那位醫生還是你的?從這個例子來看,資料收集、持有、處理或使用都是那位醫生或是醫務所之員工,屬於資料使用者。他們需要把病歷紀錄儲存及整理,目的是為了在將來進行診斷時有所參考,同時亦需要符合香港法例對病歷紀錄儲存之要求。根據香港個人資料私隱專員公署之定義,病歷正本屬醫生所有,病人可索取的僅是病歷上有關個人資料內容。醫務所之員工在使用病人資料是出於合理目的,當然為合法行為。

四、「資料處理者是指非為本身目的而是代另一人(資料使用者)處理個人資料的人。資料處理者並不受條例直接規管,但資料使用者有責任透過合約規範或其他方式,確保他們的資料處理者符合條例相關的要求。」如果第三方軟件開發商在進行系統維護時,從中盜取、使用或銷售那些資料,而並沒有取得當事人知情的同意,這便構成罪行。

對於 Facebook、Google 及 Twitter 這些用戶資訊分享平台,按一下「分享」便可輕易把別人的資訊轉載。由於「起底」還沒有一個明確定義,這些平台營運商很容易成為幫兇,而主兇當然是廣大用戶。

坊間有不少業界人士提出質疑,為什麼香港政府不參考歐盟的《一般資料保護規範》(General Data Protection Regulation,GDPR)。規管包括:

  • 個人資料外洩,必須在 72 小時內通報資料保護單位;
  • 高金額罰則,甚至以全球營業額計算罰款金額;
  • 個人享有被遺忘權(刪除權)等等。

早前個人資料私隱專員鍾麗玲表示本地條例與 GDPR 之間有許多分別,特別是資料外洩事故通報機制,情況並不理想。除此之外,行政罰款及被遺忘權均相當具爭議性,仍然有待討論。

在另一邊廂,《Hong Kong Free Press》(下稱 HKFP)早幾天前報導,Google 在國安法生效半年內,三度應香港政府要求交出用戶資料。其中兩次涉及人口販賣(involving human trafficking),而另一次涉及「可信的生命威脅」(credible threat to life)。HKFP 發現,Google 在「回應政府要求」部分的條文中列出可提供的資料為「元數據」(metadata),包括用戶姓名、電郵地址、電話號碼、賬單資訊等,並可透過「電郵標頭」(email headers)查找當事人曾與哪些人溝通。Google 亦表示,公司提交的數據不包括用戶的內容數據。

由於去年 Facebook、Twitter、Telegram 等均宣佈除非有關要求獲得美國司法部許可,否則不會應香港政府要求交出用戶資料。是次 Google 做法的確讓人「大跌眼鏡」。

在擔心會不會墮入「反起底法」之危機前,不如先替自己進行一次「起底」活動。別害怕,相信「起自己底」不會構成罪行(因為當事人,即是你本人,同意進行此操作的)。先了解在網絡上可以找到關於自己的哪些資訊,如果找到些敏感資料,可以嘗試聯絡有關單位並要求把紀錄移除。利用不同關於自己的關鍵詞,包括中英文版本,在網絡上尋找一遍,可能會讓你大吃一驚。

雖然未能猜到「網絡阿爾蓋達」會做出哪些行為,但的確別少看分享的力量。在網絡留下印記是一件容易的事,要抹去足跡則比想像中困難。我們無法亦不應完全相信那些科技巨企會完全保障每個用戶在平台上所產生的資訊,故此在發布每篇文章,轉貼每個帖文時,應先思考一下危機會否在將來出現。

 

作者 Facebook / Instagram / YouTube

編輯推介

    發表意見