林添生:面對大數據時代,保障私隱何價?

2018-12-13
林添生
公共政策及事務顧問
 
AAA

d5f0d888-f62a-407c-bd3e-6f1201b3f0e0.jpg

近日多宗有關個人資料外洩事件引起公眾關注,先有國泰航空客戶資料外洩,繼而環聯資訊索取信貸報告的程序懷疑出現保安漏洞,令人擔心經常收集市民及客戶個人資料的機構和企業,是否有足夠措施保護資料。

數碼科技昌盛 法例對企業監管不足

隨着互聯網科技發展迅速,於網上平台進行個人登記、付款程序等日趨普及,機構和企業收集市民的個人資料有增無減。一連串事件是否揭示了對個人私隱保障的隱憂?現行法例提供的保障是否足夠?

在現今數碼化的年代,能駕馭大數據科技代表擁有資產和商機。用戶在網上每一個微細的瀏覽動作,都成為企業紀錄的對象,細微至在購物網站選擇哪類型商品、瀏覽哪類型網頁時間較長、每天查看社交媒體的次數等,也是重要資料,系統藉此可計算向個別用戶推薦甚麼的商品,從而提高銷量及市場營銷的有效性。不少應用程式更會收集用戶智能手機內的相片、聯絡人資料。

shutterstock_322068299.jpg

在本港,個人資料主要受《個人資料(私隱)條例》保障,然而條例沒有規管企業可以收集資料的類型。政府應考慮修例,訂明私人及商業機構只能向用戶收集提供服務所需的必要資料,如網上購物時只收集信用卡資料、姓名等用以核實身分,用戶毋須披露其他資料(如性別、年齡)。

新例亦可訂明,如機構需要收集額外資料,必須向個人資料私隱專員公署證明收集該項資料的必要性,獲得批准後才可進行。在收集過程中,機構亦須向用戶列明資料的用途、何時會被銷毀等。

要求加快通報 提升公眾私隱意識

除了加強規管,政府亦應向企業加強問責,要求盡快通報資料外洩事件。歐盟今年較早前實施的《通用資料保障條例》(General Data Protection Regulation)列明「資料控制者須向監管機構通報資料外洩事故,不可不當地延誤」。但香港現時的《個人資料(私隱)條例》則沒有此強制性規定。

以國泰事件為例,公司於今年三月得悉事件,五月確認資料外洩,延至十月才公布事件,令人擔憂相隔五個月期間國泰有否執行補救措施,甚至其他資料有否外洩。與之相比,歐盟規定機構在事件發生後72小時內需要通報,縮短強制性通報時間有助機構和公署處理事件,並將影響減至最小。

另外,用戶亦有清楚知悉條款的責任。縱使現時在下載應用程式時,系統會在條款細則中顯示出用戶將有甚麼類別的資料被收集,但卻鮮有人細閱相關細則,用戶變相對自己的權益、資料被使用情況不知情。

shutterstock_548025055.jpg

由此可見,加強公眾教育是重要一環,公署有定期舉辦講座,提高公眾對條例認識和了解保障個人私隱的重要性,公署亦有安排網上學習資源供不同人士。然而,這些講座普及度不高,公署需考慮如透過社交媒體加強宣傳。

規管、問責、教育三者環環緊扣,透過審視並修訂現行法例,要求機構承擔通報責任和教育用戶提高對個人資料的保障。政府、機構和用戶也有責任做好自身角色,才能避免嚴重外洩事件再次發生。

文章只屬作者觀點,不代表本網立場。
 

延伸閱讀
  • 發展局委託項目管理顧問公司Oxford Global Projects的研究發現,近年香港的超大型公共工程項目普遍存在延誤、超支和質素等問題,工程延誤時間平均達34%。
    先進科技對大型項目管理而言已成為不可或缺的工具,既可控制成本又能提升效率。當局善加利用之餘,更要加強內部對技術的認知和培訓,以免浪費資源,妨礙工程的進度。

    鄧淑明  2023-01-13