你上網時會否擔心自己的個人資料會被不明人士窺探?近年「信息自由」與「信息安全」,這些關鍵詞逐漸成為互聯網世界的焦點。自從互聯網普及,人們可以輕易從網上取得海量的信息,但人們享受網絡方便的同時,個人資料信息也不知不覺間成為不少企業的利潤來源。現時世界各地,對保護網絡私隱的重視程度不一,網企要向海外發展,尤其要謹慎處理好網絡私隱問題。
香港商報記者 范曉昱
日常使用互聯網,無論是網購還是在社交媒體上分享、點讚及留下評語,都會留下個人資料信息。這些個人網絡數據資訊,讓網站、社交平台以至搜尋器能猜得到使用者的個人喜好,例如正想購買什麼東西,正想去哪裏旅行,支持哪些政治人物等。加上現時人工智能(AI)程式應用普及,你日常上網不難發現許多網上廣告都為你度身訂造,被迫看廣告事小,最怕就是個人資料信息數據被轉讓,甚至無緣無故被洩露。
臉書多次洩露用戶私人資料
社交平台臉書近年便多次發生洩漏用戶資料事件,如去年12月有網絡安全公司Comparitech發現,在黑客聚集的暗網上,有超過2.67億個臉書用戶資料被洩露,包括用戶登入名稱、真實姓名、電話號碼等。Comparitech研究人員表示,臉書數據庫被發現在暗網中開放近兩周,任何人不需要密碼或身份驗證就可讀取資料。被洩露數據的用戶大部分來自美國,可能會受到垃圾郵件或釣魚郵件等網絡攻擊。2018年亦曾爆出黑客盜取2900萬Facebook用戶個人資料事件。
香港也發生過嚴重的用戶私隱洩露事件。在2010年,八達通公司被傳媒揭發自2002年起將約200萬客戶的個人資料轉讓給第三者,以賺取4400萬元報酬。被轉讓的個人資料不但包括姓名、性別、身份證號碼等,更包括用戶曾於部分商戶購物的詳細清單。各方聲討之下,八達通控股及旗下所有子公司宣布,今後不會再向第三者提供客戶個人資料作市場推廣用途。
國泰航空(293)在2018年10月承認約940萬名乘客個人資料遭黑客外洩。英國資訊專員辦公室在今年3月發聲明指,由於國泰航空未能有效保護顧客個人資料安全,因此判國泰須支付當地《1998年數據保護法案》的最高罰款50萬英鎊。
無論是主動還是被動洩露,發生相關事件都暴露了企業對用戶私隱保護不力,以及不少地方對網絡用戶私隱的法律保護不夠健全。
當前歐盟對於私隱保障方面的法例,在全球相對領先。2016年歐盟通過《通用數據保障條例》(GDPR),在2018年5月正式生效。GDPR詳細列出了使用者合法和公平收集及處理個人資料的準則。最為人熟知的,是其規定企業須設立專責部門保障企業客戶的個人資料,以及須設有專員統領有關部門。此外,違反GDPR的罰款高達2000萬歐元或企業全球營業額的4%,以較高者為準。
港企必須遵守香港《私隱條例》
港府針對保障個人資料私隱,制定了《個人資料(私隱)條例》。香港個人資料私隱專員公署回覆本報查詢時表示,「不論公私營機構,包括網絡科技公司,在香港或從香港控制收集、持有、處理或使用(包括披露和轉移)客戶的個人資料時,都須遵守《私隱條例》及其六項保障資料原則的規定。」
私隱專員公署又指出,根據保障資料第3原則,個人資料只限使用(包括披露和轉移)於收集時述明的目的或直接相關的目的,除非得到資料當事人的自願和明確的同意。
GDPR中列出,「如果企業網站或系統存有歐洲公民的個人資料,一旦發現事故洩露個人資料,必須於72小時內通知歐盟的監管機構。」私隱專員公署表示,在香港雖然《私隱條例》沒有規定機構性的資料使用者須就他們持有的個人資料的外洩事故通知私隱公署,但私隱公署建議資料使用者向公署作出通報,以妥善處理有關外洩事故,並通知受影響的個別人士。倘私隱專員有合理理由相信有違反《私隱條例》的規定,不論有否接獲資料外洩事故通報,可按實際情況決定對有關的機構性資料使用者進行循規審查。
方保僑:本港法例有改善空間
香港資訊科技商會榮譽會長方保僑表示,互聯網私隱問題近幾年才被廣泛關注,是比較新的領域,香港對互聯網私隱保護法律,相對歐盟仍比較欠缺,有進一步完善空間。他又稱,若公司在香港涉及洩露用戶私隱,受到懲罰的成本較低,即使公開涉事公司的名稱,公司名譽的損害亦有限度。
方保僑續說,以前很多公司只是利用用戶資料去賣廣告,現在越來越多的私隱洩露被用到其他用途,當局有必要去完善相關法例,以進一步保護用戶私隱不被洩露。
他又談到,用戶對於私隱保護意識逐漸加強,「以前用戶認為網絡公司提供的服務方便、免費,私隱這方面就不會特別留意」。但隨發現越來越多個人資料被收集,更多用戶開始關注網絡私隱問題,也促進了私隱保護條例的完善。
大數據分析涉侵犯個人私隱嗎?
現時越來越多的互聯網公司為實現精準化內容投放,對用戶的性別、位置、關注內容、瀏覽等信息進行收集,實施大數據分析後,對用戶進行針對性的推送及廣告投放,那麼這種行為是否涉及侵犯私隱呢?
全球搜尋器巨頭谷歌今年6月被指控涉及非法侵犯數百萬用戶的私隱,違反美國聯邦竊聽法和加州私隱法。用戶上網瀏覽時即使使用「隱身」模式,谷歌仍繼續大範圍追蹤他們的互聯網使用情況,無論用戶是否點擊了谷歌顯示的廣告,該公司都可通過分析、廣告管理器等插件,秘密收集用戶的數據,了解用戶的位置、朋友、喜好食物、購物習慣等資訊,甚至是他們在網上搜尋各種私隱內容的詳情。
香港新興科技教育協會會長洪文正認為,互聯網公司運用大數據分析,不算涉及侵犯用戶私隱,「若只是基於一個家庭或一群人的資料做分析,確實是涉及到私隱問題;但大數據是從很龐大的數據資料中分析出用戶共同性,若正常情況下,是不涉及侵犯私隱問題的」。
洪文正:用戶應手動停止授權
洪文正亦指出,其實用戶在使用網頁時,很多時候已經無意識地accept(接納)網站獲取個人信息的條例。用戶若想停止授權,可根據設定,取消授權信息,谷歌、微信及臉書都有相關設定的選項。
方保僑認為,大數據分析是否涉及侵犯用戶私隱,首先要明確用戶有無授權網站進行個人資料的獲取及利用。其次,若網絡公司只是根據年齡、喜好、習慣來進行大數據分析,並不涉及私隱。若發現利用用戶姓名、身份證號碼等敏感信息,則需要留意。
方保僑又談到,使用互聯網很難避免輸出個人資料,尤其是社交網絡,用戶往往通過地址、電話簿、公司來「match」(配對)好友,所以除了法律條例更新、用戶謹慎授權,經營社交網絡的公司方面都要加強對用戶私隱的保護技術。
網企海外拓展須
遵守當地法例
內地或本港的互聯網公司,要將業務向海外拓展,擴大用戶群,如何入鄉隨俗,遵守當地法規是一大挑戰。就網絡個人私隱這一範疇,世界各國的法規都很不同。
以谷歌為例,作為一家全球首屈一指的搜尋引擎公司,在其他國家的業務亦頻頻捲入當地的私隱問題糾紛中。例如,今年7月底,澳洲競爭與消費者委員會便指控谷歌以誤導方式取得用戶同意,將其個人資訊用於定向廣告中。
除此之外,法國資訊與自由全國委員會在去年就谷歌違反《通用資訊保護條例》法例提出控訴,指谷歌現有的私隱條款欠缺足夠的透明度,令用戶難以理解當中的每一項內容,又指谷歌未有在得到用戶同意的情況下,根據用家喜好及搜尋記錄投放個人化廣告,稱有關行為無疑違反法例。
歐盟數據保障最嚴格
《通用數據保障條例》(GDPR)對於跨國私隱資料的限制非常嚴格,其並不限於歐盟本土,適用於歐盟所有成員國和歐洲經濟區的公民,以及與有關歐洲國家有業務來往的企業。只要任何人或機構管有歐盟公民的個人資料用作提供貨品或服務,或者記錄其行為,即使只是於香港開設網站,或者是酒店及物流等行業記錄到個人資料,都受規管。如果你的網站或系統存有歐洲公民的個人資料,一旦發現事故洩漏個人資料,根據GDPR,你必須於72小時內通知歐盟的監管機構。
香港資訊科技商會榮譽會長方保僑表示,當地的私隱條例對於很多互聯網公司來說,確實是一個難題。本地互聯網公司若想要出海,首先要明確了解當地的私隱法律,對業務進行合理規管;其次可以在當地進行分公司設置專項監管,或者尋求與第三方公司拍檔,提供技術以及資金支持。