【Facebook.观点】道歉不能平息事件 因时制宜修法、引企业问责
英国大型数据公司“剑桥分析”(Cambridge Analytica)上月被揭发于2016年在未经授权下,收集Facebook用户的个人资料,涉嫌操控美国总统大选。Facebook创办人兼行政总裁朱克伯格(Mark Zuckerberg)于美国时间周二(10日)到参议院司法及商业委员会出席有关事件的听证会。朱克伯格除了再度道歉外,就未有具体提出更严格立法方案,反而认为过多的规条会使美国落后于其他国家。然而,事实并非如是,有效的监管能使企业更谨慎地使用用户数据,更能保障用户的私隐,香港的配行法例也须跟上国际步伐。
“剑桥分析”收集了超过8,700万名Facebook用户的个人资料,据数据显示,有7000万受影响用户位于美国,其余分布于菲律宾、印尼、英国等地区,但实际受影响用户的数量仍难以确认。其后,Facebook 宣布任何在Facebook上刊登的政治广告都需经过身份审查,以及周一(9日)起会陆续通知8700万名用户。同日,美国国会对外公开朱克伯格所提交的证词,他承认公司预防措施不足,没有从宏观角度去检视公司作为社交媒体要背上的责任,以致有人利用其平台收集数据,为事件道歉。
Facebook须肩负责任 保障用户权益
不过朱克伯格在听证会上,除了多次强调用户有权选择是否分享自己的资讯外,并提出没有其他“补救措施”或新的承诺。讽刺的是,有美国基金经理称赞朱克伯格的陈述很“成功”,因其后Facebook股价一度飙升5.09%,最高见165.98美元,收市升4.5%至165.04美元,是两年来最大的单日升幅。
朱克伯格的答辩无疑对Facebook股价注入一支强心针,但却漠视了用户权益。他多次重申用户有权控制个人资料,但亦坦言,不少用户没有详细阅读完整服务条款。纵使没有详细阅读完整服务条款,而导致个人资料流向第三方,是用户的责任,但也不代表Facebook能置身事外,Facebook有责任确保第三方取得数据的目的,也要重新思考是否容许第三方取得数据、如何杜绝第三方在未经授权下取得数据等争议。可惜,朱克伯格未曾在听证会回应这一系列问题,也未确保将来如何保障用户资料,不再流向第三方。
再者,Facebook营运总监(COO)桑德伯格(Sheryl Sandberg)上星期接受 NBC 访问时表示,如果不想个人资料被利用,被社交媒体公司向外销售,现在可通过设定做到,但将来或会须要付费。然而,保障用户个人私隐本就是Facebook的责任,由于Facebook会出售用户资料为商业用途,从中赚取盈利,因此Facebook须知道买家的目的和数据的用途,从而避免买家不当运用资料。但显然,Facebook还未汲取教训,本末倒置,将责任加诸用户身上。
欧盟数据法将推出 香港须跟上步伐
既然社交媒体保护用户私隐不力,政府是否须要介入、立法规管企业如何使用数据呢?朱克伯格说,愿意接受适度的监管,但认为过多的规条会使美国落后于其他国家。不过,事实未必如是,监管不等于妨碍科技发现、拖累国家进步。
在1973年,瑞典通过全球首个个人信息保障法律《瑞典数据法》;1977年德国制定了全国性的《联邦数据保护法》;1984年英国在争议中通过了《英国数据保护法》等等,纵观以上几个欧洲国家在过去二、三十年在科技发展领域也“混”得不错,连香港在1995年落实了《个人资讯(私隐)条例》,也未见监管资讯流通所带来的明显弊病或导致科技发展裹足不前的状况。当中,德国的《联邦数据保护法》更提到“数据保护须与科技发展同步进行”(英文原文:Data protection has developed in tandem with advances in electronic information technology…),数据法也被视为保障人权的其中一项政策。可见,立法监管企业使用数据与妨碍科技进步没有必然的关系,反会令社会更进步。
事实上,欧盟早于1995年欧盟发出过《个人资料保护指引》,时隔22年欧盟终在去年通过《通用数据保障条例》,将于5月生效。在过去20年中,个人私隐的战场悄悄地转移到网络平台,法律条文也必须因时制宜,修订上几个年代推出的法例。反观香港情况,香港与欧盟同年(1995年)通过首条保障私隐条例,迄今仍未有因网络生态而修订条例,规管互联网企业(或一般企业)如何运用和收集市民的个人资料。
欧盟的《通用数据保障条例》将在今年5月生效,条例的主要规管范畴包括“通知及同意”、“问责”、“罚则”及“域外效力”,严重违例者会被判最高2千万欧元或企业全球营业额的4%作行政罚款。
私隐专员黄继儿早前曾指出,香港企业在私隐范畴所犯的错误,主要是将资料收藏得不够好。即是意味着,企业或会轻易泄漏客户资料,原因是网络安全意识不足。黄继儿表示,会考虑将《通用数据保障条例》中的“问责”概念纳入香港现有的条例(香港现时只有《个人资料私隐与互联网 –资料使用者指引》,并没有法律效用)。若泄漏了客户资料,企业高层责无旁贷,有必要将责任提高至企业高层,向管理层问责,重视客户的个人私隐。
由于私隐专员公署的职责只限于向违例者发出“执行通知”,并没有执法权,也没有权力向征收企业罚款,因此有关制定数据法的事宜须交回通讯局或创科局讨论。但时至今天,相关部门仍未有就开放数据、企业管理数据等有关互联网数据运用作公开咨询和讨论,遑论展开立法程序。既然政府内部已有声音,认为香港也需要“数据法”,相关部门理应正视同僚的意见,认真看待。也许Facebook泄密事件对香港用户影响不大,但网络私隐的问题还须正视,政府现行的法律亦须跟上网络发展而修订、更新。