时事议题?x??私隐条例落后 未追上科技发展(组图)
发布 : 2018-11-15 来源 : 明报新闻网 用微信扫描二维码,分享至好友和朋友圈 | 加关注  明声网温哥华 微信公众号 |
国泰2018年10月25日向传媒发放上载于国泰网页的短片交代事件,行政总裁佾x??(图)在片中致歉。
2018年4月底,香港宽频就客户数据库遭黑客入侵开记者会交代详情与改善方案,其间时任行政总裁杨主光鞠躬致歉。
2010年八达通承认转售客户资料,有团体不满八达通做法,请愿要求八达通交代。
个人资料私隐专员公署(私隐专员公署)为独立法定机构,职能包括处理投诉、法律支援、教育公众、监察条例实行等。公署制定各类实务守则或指引,如《身分证号码及其他身分代号实务守则》、《人力资源管理实务守则》等,供企业制定私隐政策时参考。任何人如怀疑个人资料被滥用,可向公署投诉,若有人或机构涉违反条例,私隐专员可发出「执行通知」(enforcement notice)要求采取补救措施,不遵守属刑事罪行,或被检控。
近年大型企业涉侵私隐事件
国泰客户资料被不当取览
2018年10月国泰航空公布,在同年5月已确认有约940万名乘客的个人资料被不当取览,公众质疑为何国泰拖延半年后才公布。有逾10年没搭国泰或港龙航班、只有「亚洲万里通」户口的客户亦被通知其身分证号码、姓名和称谓外泄,她质疑可能订过机票都「中招」。
私隐专员公署2018年11月5日表示,已收到国泰航空就外泄事件提交的书面回覆,经考虑最新资料后,决定据《私隐条例》对国泰及子公司港龙航空展开循规调查,以确定事件有否违反条例。
黑客盗香港宽频38万客资料
香港宽频2018年4月发公告,发现存有已停用客户资料库的伺服器被黑客入侵,涉38万客户。香港宽频时任行政总裁杨主光承认没将载有有关资料的伺服器离线及加密。私隐专员黄继儿指,公署在香港宽频通报前,已主动展开循规审查,检视香港宽频在技术保安上有没有漏洞及违反《私隐条例》所列原则。香港宽频事后公布多项措施,如随机删除现有客户身分证号码中2个数字及括号内的数字,只保留信用卡中头6个及尾4个数字;如客户停用服务,香港宽频于6个月内清除其资料,较现时保留7年大为缩短。
八达通转售客户资料
香港电子支付工具八达通2010年承认将客户资料转售予6家公司作??u广,获利4400万元,事件涉及近200万名客户的个人资料,包括姓名、性别、身分证号码,甚至购物清单,事件引起公众关注机构未经客户同意出售客户的个人资料。私隐专员公署其后发布调查报告,认为八达通公司行为虽合法,但在收集及使用客户的个人资料的过程中,违反「保障资料原则」,八达通其后宣布停止向第三方转移资料作市场??u广。
■青少年可能面对的私隐陷阱
(1) 流行「起底」
青少年习惯在网上分享生活,当中可能包含个人私隐资料,有心人可以把其「起底」。香港理工大学应用社会科学系2018年9月公布调查,2120名中二至中五生中,12.1%受访者曾在网上蒐集别人资料,包括搜查别人名字(94.4%)、照片或影片(70.9%)、感情状?(52.1%)等。有54.7%受访者曾未经同意下被别人公开个人资料,包括照片或影片(31.4%)、姓名(29.9%)及手机号码(15.1%)等。
(2) 智能电话泄资料
智能电话储存大量个人资料,若遗失电话、安装恶意或要求查阅大量资料的程式、连接假的公共Wi-Fi热点等,个人资料很可能被他人非法利用。传真社2016及2017年先后揭发多个来电拦截手机应用程式在未有用户授权下,可搜寻电话号码持有人身分,受害者包括个人资料私隐专员及多名官员。
(3) 公开试成绩作宣传
2007年,一名女学生于中学会考英文科考获5*成绩,其补习社职员致电表示可给她2000元奖金,她遂前往领取奖金及接受杂志访问。其后她发现该补习社在某杂志中刊登广告,广告载有她的成绩通知书副本,并清楚显示她的姓名、学校名称、会考各科成绩等。女学生向私隐专员公署投诉,公署认为该补习社违反保障资料原则,向该补习社送达「执行通知」。公署亦提醒学生要主动了解补习社收集个人资料的目的及用途。
(4) 匿名招职广告骗私隐
许多青少年会找暑期工或兼职,但求职时小心泄露私隐。私隐专员公署2014年调查招聘平台,发现平均每天有311个匿名广告,当中48个经调查后证实违规。署方指匿名广告可能恶意收集个人资料以直接促销或诈骗、滋扰求职者等。
■现行条例的不足
本港的《私隐条例》于1996年生效,曾于2012年修订,有评论认为很多条文内容已过时,未能追上科技发展及有效保障私隐。
未禁止将资料海外转移
x??汇思召集人蔡骐于2017年接受《明报》访问时指出,《私隐条例》内有关「禁止将资料海外转移」的条例仍未实施,港人的资料可能在未经当事人同意下,被转移至外地。
例如2017年6月起内地正式实施的《网络安全法》,要求外国「关键信息基础设施」营运商,必须在中国境内储存个人信息和重要商业数据,并向安全机构提供「技术支持」,以及通过国家安全审查。本港政府难以阻止到内地发展的香港企业将港人的资料转移到内地,甚至海外地区。
未强制企业通报资料外泄
现行法例未规定企业一旦外泄客户私隐,必须强制公布事件,如国泰航空2018年10月才公布5月初已确认私隐外泄事件。?x??汇思召集人蔡骐质疑,本港未有硬性要求外泄资料机构必须向私隐专员或受影响的人通报,比菲律宾的相关法例更落后。
私隐专员公署早于2007年底向政制及内地事务局呈交56项修例建议,当中一项为硬性规定资料使用者在个人资料外泄时,必须通知私隐专员和受影响者,但建议被政府否决,政府指会对资料使用者造成沉重负担,建议先审慎??u行自愿通报机制。资深传媒工作者梁美仪撰文指,政府约10年前没接受建议,现时香港相关规定已落后于国际,政府的迟缓与落后,最终受害的不单是香港的市民,香港的企业迟早也可能陷于私隐危机。
私隐署无检控权
私隐专员公署不时对企业作循规审查,但受法例所限无检控权力,常被外界贴上「无牙老虎」的标签。私隐专员黄继儿2017年受访时称,触犯私隐条例者并非犯下弥天大罪,「无必要有牙和做老虎」。黄继儿又称公署现时虽无刑事检控权力,但他认为公署透过教育及??u广工作,已达到提高市民保障及尊重他人私隐的效果,暂时「无迫切性」增加公署权力,但会考虑加强现有罚则。
现时任何人因资料使用者违反条例规定而蒙受损害,可透过民事诉讼索偿。2007年公署曾留意到条例生效以来,法庭从未就严重违反保障资料原则的资料使用者作出任何赔偿裁决,因此建议修例,让专员可有权规定相关资料使用者缴付罚款及判给当事人补偿,惟建议被政府否决。
■各持份者加强保护个人私隐的方法
保护个人私隐涉不同持份者,企业为「资料使用者」,民众为「资料当事人」,政府亦有责任监察法例的实施情?。
◆个人
提高保护私隐意识
《私隐条例》规定,企业在收集资料时或之前,须明确告知对方资料将用于什么目的。?x??汇思召集人蔡骐表示,市民要注意资料使用者会否将自己的资料转给第三方。他解释在现行法例下,资料当事人向资料使用者提供电话号码后,对方透露可能会转交其他人,资料当事人一旦同意,资料使用者再转交电话予别人时,便不用再徵得其同意。
◆政府
修订法例
欧盟2018年5月生效的《通用数据保障条例(GDPR)》规定,企业若泄成员国公民资料,要在72小时通报当局,否则可被罚款,但本港未有相关规定。针对有关漏洞,私隐署在国泰事件后表示,正检视《私隐条例》,将在数月内就修订向政府和公众提出意见和建议。
加强宣传及教育
私隐专员公署其一责任为??u广保护私隐,加强宣传及教育有助保障各持份者利益。如私隐专员公署与「亚太区私隐机构」成员合作??u广年度「关注私隐运动」,针对近年社交媒体流行,宣传小心网上行销过度蒐集个人资料,亦有举办长者及中学生私隐教育讲座。
◆企业
注意网络安全
罗兵咸永道网络安全及私隐合伙人颜国定指,近年数码保安事故增加,与香港网络安全水平较薄弱不无关系。颜平日负责处理客户的求助,他指系统漏洞中有七成属「低级错误」,如将内部系统对外开放,增加被入侵风险;另外三成则由黑客精心策划,以夺取客户资料等重要资产。另外,他表示香港公司的网络防御水准落后5年,黑客没有国界,会选择较易攻击的地方。企业如注重网络安全及堵塞系统的漏洞,有助降低资料外泄风险。
设透明的私隐政策
私隐专员公署2017年5月调查本港6个行业,包括零售、酒店等的30个顾客奖赏计划,检视其私隐政策。发现大部分透明度低,如对于向谁分享资料,采用「与本公司有联系的机构」等含糊描述。私隐专员黄继儿建议,营运商应坦诚地向顾客说明其私隐政策。
[通通识 第545期]