【个人私隐】个人资料难定义　港规管仍停留在前互联网时代

美国大热的网上惊栗剧《黑镜》中，有这样一个故事：在不久的未来，有技术可保存人的全部记忆，剧中主角因偏执猜疑，沉迷观看记忆录像，终致妻离子散。剧中探讨个体如何自作自受，但未有拷问的是，究竟谁拥有这项技术？谁持有其产生的海量数据？科技公司会如何处理个人私隐？这些公司又应该负起哪些责任？你的数据不是你的，是我们正面对的问题。当人人24小时手机不离身，不论是发布社交媒体动态，还是上网查地图或天气，你的每一个行动都会被智能手机记录下来，传送至云端并串联成无数个数据集，甚至在不同公司的手中流转。究竟用家会如何受到影响？《你的数据不是你的 个人私隐保障成疑》系列二之二

走在香港街头，不难发现手机程式以各种优惠作招徕的广告，例如电子支付程式经常以现金优惠吸引新用家下载程式使用。即使没有优惠券，大多数人都会认为可以使用程式提供的免费服务已算是“着数”。

这些企业可从一个用家身上赚多少钱？以Facebook为例，上季度收入151亿美元，即平均从每名用家身上获得约6美元收入。英国《金融时报》曾报道，在数据市场上，每1,000人的一般资料只售0.7美元（5.5港元），即一人数据只值0.005港元。从每名用家平均收入（Revenue per User）来看，似乎是用家更赚？香港中文大学新闻与传播学院助理教授徐洛文认为，企业从一个用家身上赚取的金额看似不多，然而互联网更多是靠“量”赚钱，即企业透过提供免费服务，再收集用家数据赚取盈利，只要用家数量够多，收入就有一定份量。他指出，如此商业模式令人们只会依赖某几家大网站，例如Facebook及Google等，形成互联网中心化的局面，“科技依然是去中心化，每个人都可以设立自己的网页，但人们会经常到访的网站则非常中心化。”而这些大公司又继续收集个人数据，并覆盖不同面向。

↓ App数据权限测试机 ↓

个人资料由谁定义？

徐洛文认为，本地公司的数据使用透明度普遍不足，人们无从得知自己的数据将如何被传送或分析。他曾做过研究，向本港的电讯公司索取自己的IP地址及地理位置数据，惟当时竟被告知IP及地理位置不是个人资料。他指出，即使数据没有写明是谁的，但只要记录时间够长，也可辨别一个人的身份。拉锯多年，徐洛文才争取到部分电讯公司白纸黑字列明个人资料的范围。他指本港这些争议一般都要交由法庭定夺，大公司因有法律团队，在法庭上通常更占优势；当一项数据被认定不是个人资料，便不受法律保障，企业可以随时与第三方分享，甚至买卖。用家在是否交出数据这件事上，有决定权吗？答案可以是“有”，因为用家在首次使用某一个手机程式时，可以先细阅私隐政策文件，然后选择是否“同意”条文和决定是否继续使用该程式。

徐洛文指出，法律上这个“同意”很具份量，因为法律尊重人在清醒的情况下做出的理性选择，但这种“同意”一直极具争议。例如，若用家选择“不同意”时，便不可继续使用该程式，这是否真的算有选择？加上，私隐政策文件通常冗长、复杂，一般人不易理解。

徐洛文引述美国学者Joseph Turow的研究指，消费者考虑是否提供数据时，多数人并不认为自己有选择，只是无可奈何接受私隐条款，“消费者并非不关注（私隐），只是早已放弃。”除此之外，许多用家抱有“我又没做错事，我怕什么？”，即“我没有什么需要隐藏”的态度。徐洛文解释，私隐不同于一块面包可以明码标价，很难定义私隐的价值。

他续指，私隐外泄所带来的伤害亦难以量化。虽然有人提出，当一个人知道自己的私隐被别人窥探，已可感到被伤害，不一定要等到资料外泄带来实质影响后才算伤害。但在实际情况下，例如早前选举事务处被揭两年前遗失选民登记册，还未出现相关影响或事件，反方又会问，这究竟损害了谁，损害了什么？

如何减少私隐外泄？徐洛文观察到，个体可采取的应对方式主要有两类，一是科技，二是金钱，即使用私隐保障程度更高的应用及软件，又或者花更多钱去使用不以收集个人私隐作商业模式的服务。问题在于现时甚少人选择这些替代方案。以通讯工具为例，虽然有更保障私隐的应用，但如果身边没太多朋友使用，一般人也不会选用。

眼看为了追求平等、去中心化状态而诞生的互联网正走向另一极端，互联网之父伯纳斯李（Tim Berners-Lee）最近提出一个解决方案—Solid，一个去中心化的数据平台，用家可将自己使用网络时所产生的数据上传，再决定将数据交给谁。伯纳斯李期望，用家将重拾自己对数据的控制权及拥用权。

港停留在前互联网时代

二十多年前，当局因商业考虑而订立《条例》。1995年，欧盟要求会员国在与其他国家经商时，需考虑当地有无类似的私隐保障制度，本港于是订立相关条例以达到对方要求，惟这一条例沿用多年却鲜有修订。如今科技及市场环境均有大改变，全球已由前互联网时期，走过互联网时代，来到人工智能大数据时代。数据来源及处理已有天翻地覆的变化。

欧盟在去年推出GDPR以应对科技发展、全球化等外在环境对个人资料保障带来的威胁。GDPR被喻为史上最严个人资料保护法，引入多项资料当事人的新权利，包括被遗忘权、资料拥有权及㩗带权、机构及企业在收集个人资料前必须得到当事人同意等。如资料处理者违反条例，可被判处高达2,000万欧元或企业全球年度营业额4%的罚款。

反观香港，专责监察《条例》施行的个人私人资料私隐专员公署，经常被形容为“无牙老虎”。因为不具施加行政罚款及刑罚的权力，私隐专员只能向违反资料保障原则的资料使用者发出执行通知。当这些违反条例的机构或企业，在收到执行通知后，不采取补救措施，才算干犯刑事罪行。去年底，国泰航空爆出影响940万人的严重个人资料外泄事件，黄继儿其后在立法会特别会议上表示，正与政府检讨《条例》，并指会于今年上半年发布相关文件。

修例面临困难

徐洛文认为，不同地方的私隐专员有不同权力，权力较弱的地方通常商业考量就多一点，香港正属此例。他举例指，本港的私隐专员不能自己决定调查对象，一般需要接到投诉才可开展调查。公署在回复本报时表示，在应对私隐问题时，会同时平衡个人资料保障和便利营商与创新发展。

本港若要跟随欧盟，改变沿用二十多年的制度亦不容易。徐洛文指，香港有太多“有趣”的问题，包括如何应对GDPR，如何应对内地市场；当年订立《条例》主要是为了与欧盟看齐，而现在则同时要考虑欧盟和内地市场。

关于内地市场，另一个无解的问题是规管个人资料跨境转移的《条例》第33条至今仍未实施。徐洛文认为这件事短期内不会有进展，“你不可能写一个条文去支持内地公司将个人资料传送到内地，而内地对个人资料的保障比香港更弱。另一方面，如果这件事一直不解决，又很难和其他地方做生意。”

徐洛文建议：． 使用点对点加密的通讯工具， 首选Signal，WhatsApp、Telegram 亦提供类似功能． 尽量使用双重认证（Tw o - Factor Authentication）登入功能．登录Have I Been Pwned网站，查询有否被黑客盗用密码的帐号，尽快更改密码赖灼东建议：．有需要可使用两部电话，一部专门用于处理工作及重要个人讯息，而另一部则安装游戏等安全漏洞或较多的应用．封锁网页Cookie．定期更新应用程式．留意应用程式使用了哪些非必要权限，当有怀疑时，可向厂商询问或浏览政府的资讯安全网私隐专员提醒巿民“自保”：．查明应用程式的《私隐政策声明》和《收集个人资料声明》，了解程式会查阅、上载或分享哪些资料，再决定是否选用及安装．在安装后应不时检视程式的权限设定，并限制其读取不必要的个人资料，如通讯录和短讯资料

立法、规管方面的缺失，亦间接导致本港企业对数据保护的不重视。德勤及特许公认会计师公会2016年的调查发现，香港公司在资讯安全方面的投入度低，有近四分之一的受访公司未将这重点领域纳入未来三年的财政预算范围。此外，高达四成的受访企业首席财务官（CFO）及首席信息官（CIO）并不清楚所在公司是否有拨备专门的资讯安全开支预算。

企业不重视资讯安全，导致其容易受到黑客攻击，严重的数据盗窃及泄漏事件近年时有发生。国泰航空去年乘客资料外泄，涉及身份证、护照及信用卡号码等等。去年初，香港宽频亦爆出旧伺服器遭到黑客攻击，影响近四十万旧客户。用家的数据不单止不是用家的，更调转头伤害他们。港府若不尽快完善相关法律，难道指望企业自律？

上文节录自第164期《香港01》周报（2019年5月27日）《数据保护法规滞后 个人私隐保障成疑》。

相关文章：【个人私隐】你的数据不是你的　个人私隐保障成疑

更多周报文章︰【01周报专页】《香港01》周报，各大书报摊、OK便利店及Vango便利店有售。你亦可按此订阅周报，阅读更多深度报道。