【大数据.三】电子产品易泄个人资料 资讯开放与私隐如何平衡?
走进车厢,电子钱包、交友程式的广告铺天盖地,人人低头沉醉于手机荧幕,享受着科技带来的便利。数码年代,人人一机在手,上网浏览资讯,流动支付、电召的士、外卖点餐等应用程式攻占我们的手机。你曾否想过,应用程式及网络供应商一直收集及得到多少用户的个人资料?近年大数据、人工智能等技术崛起,为市民生活和企业营商带来便利,同时引起对私隐保障的关注,如何在推动资讯开放与保障私隐之间作出平衡,成为重要的课题。此乃《谁搬走了我的数据?》系列专题报道之三
究竟网际网络记录(Internet Protocol Address,简称IP位址),是否个人资料的一部分?早于两年前,有民间组织尝试向本地电讯及网络供应商索取个人帐户资料,结果他们只愿意提供基本资料及通话记录。在五所电讯商中,只有两所解释IP位址仅是一串数字,无法识别个人身份,并以非个人资料为由而拒绝提供资料。活动发起人之一、香港中文大学新闻与传播学院助理教授徐洛文反驳指,网络供应商有能力连系IP位址与用户资料,不单可辨识身份,更可从IP位址追踪及分析客户的上网资料、行为及习惯。
有关个人私隐的讨论,十年来从未间断。随着大数据时代来临,个人资料的定义有所改变,除了姓名、身份证号码,透过手机及应用程式收集的数据是否私隐?再从搜集的数据以分析个人习惯和喜好,又是否称得上侵犯私隐?如何厘定私隐界线,并非三言两语能够说清。“大家都知道资料是值钱的,拿去卖不紧要,但你要告诉用户。可是,现在好多(机构)也不告诉你。”个人资料私隐专员黄继儿说,现今世代的数据收集及运用,与十年,甚至五年前相比,已起了翻天覆地的变化。从摇篮到坟墓,每个人的个人资料只会与日递增—姓名、指纹、身份证明文件、银行户口号码,这些统统被视为基本私隐权,受到法律保障。
但踏入数码年代,电脑、手机、便携式装置、社交平台和应用程式遭广泛使用,面对网购、电子钱包、物联网、人工智能、金融科技等科技浪潮,我们的日常生活变得与数据经济密不可分。据政府统计处的调查结果显示,2017年有约568.8万名十岁及以上人士拥有智能手机,较前年多出超过20万人;智能手机的渗透率亦由前年的85.8%升至2017年的88.6%,渗透率在全球数一数二。
便捷凌驾于私隐 低估外泄后患
往日大家只倚赖电脑上网,随着智能手机普及,我们生活的种种数码记录及个人私隐,例如联络人资料及浏览记录均储存在智能手机等电子装置,加上应用程式层出不穷,个人在线和离线资料都会被大量收集,但又难以预计相关数据会如何被使用,这令个人私隐专员公署保障资讯安全的工作面对前所未有的挑战。“现在多了‘E’(电子),如你的信贷数据、出入境过关、医疗记录,还有人面辨识,凡是你留下的身份识别符号或样貌,很多以前没有的,现在加进来,这个乘数效应就会变多。”
香港互联网注册管理公司于2018年8月发表《流动电子支付:从顾客至商户的电子转型》调查,公司委托香港互联网协会以网上问卷形式向年龄介乎18至65岁的市民进行访问,成功收集逾1,200份问卷。调查结果显示84%受访者曾经使用流动支付,惟逾半受访者顾虑网络安全及个人私隐问题,担心个人资料遭滥用。黄继儿上任三年多,接受不少访问,当中最令人印象深刻的是,他直言对电子钱包有所保留,甚至逆流而行,连网上银行也从不沾手。公署上年度接获1,619宗投诉,有关资讯及通讯科技的投诉为249宗,当中主要涉及对社交网络和智能手机应用程式的投诉。他形容,二十年前没什么人关注私隐,十年前市民会留意,但对私隐概念不清晰,现在留意及清晰的人多了,但对个人私隐的关注与具体的自保行动仍有落差:“你看最近那些保安漏洞,人人都知道要保障,但怎样保呢?口唇边快要说出来,却做不到。做不到不是因为不想做,而是不知道怎样做。”港人如此频密使用应用程式,个人资料自然有机会被收集、储存及转移,甚至“汇编”(profiling)后出售,亡羊补牢往往是港人保护私隐的写照,出事后才人人自危,低估私隐外泄的后患。
黄继儿表示,本港市民使用应用程式时,大部分使用者并无细读私隐政策内容,草草将便捷凌驾于私隐,“私隐政策及收集个人资料声明等条款,(文字)细得用户不会看,安装时也不得不按我同意、我接受(条款),否则连用也无法用。这种捆绑式同意根本没有意义。”这不单反映用户对保障个人私隐的意识偏低,而机构也缺乏尊重用户私隐的意识。
消委会于2018年3月公布部分网约的士应用程式要求用户开放手机权限,并收集不少个人资料,对私隐问题表示关注:如某一个应用程式会存取十种资料,包括读取联络人资料,甚至闪光灯,相比另一程式只要求“存取GPS网络位置”一项,反映相类功能的应用程式在索取个人资料上有很大差别,某些收集的数据或不必要或超乎适度。除智能电话外,不少可穿戴装置如智能健身手带及智能手表,可收集及储存个人资料,而且一些物联网装置会设有附加功能,收集额外资讯如追踪用家位置,可能在用家未知悉或未授权的情况下,收集及分享个人资料,换来泄露私隐的风险。
黄继儿慨叹,港人缺乏保障意识,使用应用程式时警觉性不足,只属冰山一角,更多时候是不少机构利用奖赏,引诱市民提供个人资料,借此收集数据作策略性推广或其他用途。不少港人经不起小恩小惠的考验,将个人资料拱手相让。“这些资料都是属于个人,那些银行、商业机构收集了便当成自己拥有,个人资料管治、拥有、处理的权力应放回个人手中。因为用户才是拥有资料的人。”将个人私隐的主导权交回用户这一点,促成欧洲改革私隐法。
欧盟新例救私隐 扩大保障范围
2018年5月25日实施的欧盟《通用数据保障条例》(General Data Protection Regulation,简称GDPR),被喻为保护私隐的最强法例,大幅提升用户掌控个人资料的权力。除了近日广为港人熟悉的资料外泄强制通报外,GDPR规定所有涉及欧盟市场的企业必须征得用户同意,才可收集用户资料,而收集该项个人资料是提供服务的先决条件。在新条例下,企业一旦被裁定违规,罚款金额达2,000万欧元(约1.79亿港元),或全球年营业额的4%。
GDPR为应对大数据浪潮,更扩大了个人数据保护范围,当中包括了IP位址、电邮地址、cookie等直接数据,以及兴趣、简历和位置数据等间接资料,并给予用户使用个人资料的知情权、被遗忘权、可携权等权利。新例适用于拥有欧盟市场业务的机构,而GDPR亦有豁免,当中包括250名员工以下的中小企。
大数据分析、人工智能等科技日渐被企业应用,以提升运作效益。这些现代化数据驱动的科技,彻底改变我们收集、处理和使用数据的想像。同时,个人资料保障屡受冲击,如不知情下的“同意”、数据被秘密地收集、超乎预期的数据使用、敏感的个人资料被披露,以及在未经授权下从匿名的资料重新识别个人身份等,部分数据处理甚至引起道德问题,如演算法的歧视及偏见。苹果行政总裁库克(Tim Cook)也曾说:“我们自己的资讯,从日常习惯到私人喜好,已经如打仗般有效地转换成武器来攻击自己。”
面对危机四伏,于二十三年前制定的《个人资料(私隐)条例》(下称《私隐条例》)却以不变应万变。在1996年实施的《私隐条例》是亚洲首套针对个人资料私隐的成文法,当中列明六项保障资料原则,借鉴国际标准从收集、储存、保留、使用、查阅及更正等层面制定准则和惩处机制,使个人资料和资料使用者有规可循。据《私隐条例》,“个人资料”所指的是能直接或间接辨认在世者个人身份的资料,而且可让人切实可行地查阅或处理,例如文件或录影带。私隐条例只要不涉及能对应个人身份的资料如姓名、身份证号码等,其他个人资料未必属私隐保护范围之内,须视乎情况而定。
上文刊载于第144期《香港01》周报(2018年12月31日)《谁搬走了我的数据?》专题中的《营造“数据道德”氛围 保个人资料 》。
其他《谁搬走了我的数据?》专题报道文章:【大数据.一】人工智能一定更客观? 学习不全面或致误判及偏见【大数据.二】企业赚钱基于用户数据 学者倡数据产权保大众权利
浏览更多周报文章︰【01周报专页】《香港01》周报各大书报摊及便利店有售。你亦可按此订阅周报,阅读更多深度报道。
相关文章:【大数据】用大数据重新定义人 当经济穷省遇上高科技【大数据】贵州数据铁笼管人管事 大数据非收集私隐?【大数据】数字化时代争议四起 社会恶果有待分解【科技.未来】多国收集国民DNA 大数据与个资权利可否共存?