大數據時代,個人資料有價有市,為加強保障用戶個人私隱,2018年5月歐盟國家實施「一般數據保護條例」(GDPR, General Data Protection Regulation),適用於每個可能接觸歐盟公民的企業以及非營利組織、政府機構,因此影響範圍不僅限於歐盟。香港法律界人士及學者大都認為香港在保護個人私隱的條例上落後,需要急起直追歐洲的腳步,尤其應該提高懲罰金額。
香港商報記者 姚一鶴
歐盟的「一般數據保護條例」(GDPR)相當嚴格,觸犯GDPR不僅罰款驚人。若企業違反相關法規,如未做好個人資料保護導致資料外洩或遭勒索軟件攻擊,可開罰最高佔其全球營業額4%金額或2000萬歐元(約1.78億港元/1.57億元人民幣),此法期望根本改變企業界對個人數據的蒐集與利用的方式。
2018年2月,比利時法院裁定社交媒體臉書(facebook)侵犯用戶隱私。2018年2月16日,比利時布魯塞爾法院一審判定臉書違反比利時隱私法,要求臉書停止非法收集和保存用戶數據,否則將被處以每天25萬歐元,累積總額最高可達1億歐元的罰款。法院判定,臉書在第三方網站上追蹤用戶信息違反了比利時隱私法。
香港私隱保護條例大落後
簡單說,歐盟現在對網絡使用者個人資料的保護意識是非常高漲,GDPR法要求所有網絡業者在使用消費者的任何相關資訊的時候,都要經過消費者同意。
提到網絡個人私隱安全問題,資深投資銀行家暨中國人民大學講座教授溫天納便有親身經歷:「我在某個旅遊網站預訂旅遊事項,後來自己的信用卡竟出現盜刷。最後對方說系統被人入侵,但具體是監守自盜,還是真的有黑客進入系統就不得而知,不管是哪一種情況,我認為網站都應該負責。」
「香港人在個人隱私(保障)方面,其實沒有歐美人士般注意,內地更是如此。可以看到的是很多時候,都是要舉報之後才會發現這種被盜取的情況。」溫天納稱。
「其實香港雖然一直以來也有類似的法律,但是有關網絡安全的法律,卻已經太久沒有更新,所以相對於歐洲相關法律都比較落後,其實內地在這方面也做得好過香港。這方面就需要政府盡快更新,才能更好地維護相關的安全。」香港新興科技教育協會創會會長洪文正表示,和歐洲相比,香港雖然也有法例保障私隱權,但專家普遍認為更新速度太慢。
香港應加重相關懲罰
香港中文大學經濟系副教授莊太量認為,即使香港也實施GDPR這樣的條例,對於B.A.T.(百度、阿里巴巴及騰訊)或者臉書等網絡巨企影響都不會太大,「也不會對香港吸引新經濟公司有太多影響,因為這些公司本來也要做好相關隱私保護工作,如若洩露資料產生高額罰款,亦可在事前提高對客戶的服務費,規避罰款。」
莊太量亦表示:「希望政府可以加大網絡安全方面的處罰力度,處罰額度高於可獲利的價值。」比如個人信息被洩露,大概一個信息的售價是在5美元左右,也就是港幣幾十塊錢,若涉及龐大數目的用戶量總價值便很高,像早前國泰航空被黑客入侵竊取的客戶信息,價值就估計至少幾千萬元,所以處罰力度必須比這個高。
「我認為政府就應該推出相關法律,不單是違法者要受到法律制裁,同時如果是相關的公司沒有做好相應的保護工作,讓用戶的信息安全受到威脅,也同樣應該處罰。」莊太量教授呼籲政府加強處罰力度,最好是高於其信息的可售價值,這樣才能更好地規範網絡信息安全。
至於內地的情況,易方資本高級分析員關博文表示,很多時候,在一些網站要註冊成用戶必須提供身份證明信息,其實這樣也是一種個人私隱的洩露,但是你使用網站就必須提供,感覺像是「霸王條款」。但他也表示,如果網絡公司能夠妥善保管信息也無可厚非。
個人資料數據必須防止外洩
近年香港網絡黑客攻擊的案件數目不斷上升,不少企業被盜取大量客戶資料。有見及此,香港個人資料私隱專員公署正檢討本地的數據保障條例,並研究是否需要更周密保護市民的個人資料。根據現行法例,如企業未有採取措施保障用戶資料及堵塞有機會外洩資料的漏洞,則會遭受檢控。
「香港是國際化大都市,很多時候確實會參考歐洲立法,尤其是英國。如果相關方面立法,則需要在政府覺得有需要時便可以提出,或者由議員提出,再提交給政府官員。」林炳昌律師認為必須是在客戶點頭同意的情況下,再利用客戶相關的資料才是可以的。
就操作層面而言,關鍵是保障用戶對數據被使用的知情權與選擇權。事實上,從人工智慧技術被用於分析社交網絡數據的那一刻起,學術界就開始對相關倫理標準進行探討,基於社交網絡的行為心理,研究同樣應當遵守一般倫理原則,使用需要用戶授權的數據必須徵得用戶同意,並嚴格按照經由倫理委員會審核程序的進行,尤其不能將研究數據用於倫理委員會批准範圍之外的目的,如轉賣給第三方。
即使是使用不須用戶授權的公開網絡數據,在用於科研時也應同時滿足以下四項標準:首先,用戶對數據公開是知情的;其次,數據收集後應匿名處理;再次,研究中不存在與用戶的互動和溝通;最後,在公開發表物中不得出現能夠識別用戶個人身份的資訊。
【环球视野】GDPR嚇到臉書遷15億用戶帳號
相對於香港,歐洲法律體系私隱保護最為全面,在1995年歐洲便頒布個人數據保護的相關條例,2016年新升級為法案(General Data Protection Regulation, GDPR在歐盟各國同時作為法律實施),2018年5月起在歐盟各國正式實施。
GDPR除了要求任何會處理到使用者個人資訊的企業,在搜集歐盟公民身份的使用者個人資料時要主動提出說明、讓使用者有撤回同意或要求刪除個人資訊的權力之外,若企業違反相關法規──例如未做好個人資料保護,導致資料外洩或遭勒索軟件攻擊,可罰款最高全球營業額4%金額或2000萬歐元,期盼能藉此改變個人數據的蒐集與利用方式,讓企業界警惕。
該法主要針對歐洲企業進行規範,意即若將服務條款設定於歐洲外的區域,將不在GDPR規範的保護範圍內。臉書作為全球最大社交媒體亦不得不考慮採取新措施,降低觸犯法例的機會,為減低 GDPR對公司造成的影響,臉書在GDPR執行前,已將原來隸屬於愛爾蘭國際總部管轄的15億名用戶遷出歐盟管轄區,改以美國版用戶條款處理該批帳號。
規避巨額罰款風險
Facebook表示,遷出歐洲的15億帳號,來自非洲、亞洲、澳洲及拉丁美洲地區,已移交臉書美國總部管理,令愛爾蘭總部只管理餘下3.7億歐洲用戶帳號。
而為了遵循GDPR法,搜尋器巨企谷歌(Google)日前宣布將更動部分服務條款和隱私政策,從美國轉移到位於愛爾蘭首都都柏林的Google歐洲總部,成為正式的服務提供方。
谷歌做法與臉書截然不同,決定將用戶資料控制權從美國轉移至愛爾蘭,或許是因為谷歌旗下社交平台Google+用戶近期爆出隱私外洩,以及該公司CEO皮采(Sundar Pichai)在近日就公司數據蒐集、搜尋業務和其他一系列問題赴美國眾議院司法委員會作證的影響,以期挽救公司過去一年來被叮得滿頭包的數據隱私問題。
谷歌表示,愛爾蘭公司將會成為歐洲經濟區和瑞士地區用戶的合法資料控制者,會負責回應用戶的資料請求和私隱法,也包含GDPR法,涵蓋大部分谷歌的服務,包含搜尋、Gmail、地圖等等。谷歌強調,這些改變不會影響服務的功能和操作,但會改變用戶資料的蒐集方式,將於2019年1月22日起正式生效。
姚一鶴
在社交網絡保護私隱小技巧:
1)首先請注意分享的個人資訊的數量。避免發布您的家庭住址、生日日期、單位資訊,以及您的確切位置。
2)定期檢查你的社交媒體中的隱私設置是否完好。
3)為所有社交媒體帳號設置強大、獨立的密碼,並使用多種條件的身份驗證。
4)禁止社交媒體用位置資訊共用。
5)盡量避免使用授權登錄的方式來登錄網站。
6)警惕陌生人的信息和加好友請求,不要點擊你不知道的人發送的鏈接。
7)防止安裝不信任的應用程式。
8)在進行線上測試和問卷調查前,請先考慮會不會洩露個人資訊。
9)開啟安全殺毒軟件來保護您免收病毒、惡意軟件的威脅。
10)經常注意更新系統補丁。