林添生:面對大數據時代,保障私隱何價?
近日多宗有關個人資料外洩事件引起公眾關注,先有國泰航空客戶資料外洩,繼而環聯資訊索取信貸報告的程序懷疑出現保安漏洞,令人擔心經常收集市民及客戶個人資料的機構和企業,是否有足夠措施保護資料。
數碼科技昌盛 法例對企業監管不足
隨着互聯網科技發展迅速,於網上平台進行個人登記、付款程序等日趨普及,機構和企業收集市民的個人資料有增無減。一連串事件是否揭示了對個人私隱保障的隱憂?現行法例提供的保障是否足夠?
在現今數碼化的年代,能駕馭大數據科技代表擁有資產和商機。用戶在網上每一個微細的瀏覽動作,都成為企業紀錄的對象,細微至在購物網站選擇哪類型商品、瀏覽哪類型網頁時間較長、每天查看社交媒體的次數等,也是重要資料,系統藉此可計算向個別用戶推薦甚麼的商品,從而提高銷量及市場營銷的有效性。不少應用程式更會收集用戶智能手機內的相片、聯絡人資料。
在本港,個人資料主要受《個人資料(私隱)條例》保障,然而條例沒有規管企業可以收集資料的類型。政府應考慮修例,訂明私人及商業機構只能向用戶收集提供服務所需的必要資料,如網上購物時只收集信用卡資料、姓名等用以核實身分,用戶毋須披露其他資料(如性別、年齡)。
新例亦可訂明,如機構需要收集額外資料,必須向個人資料私隱專員公署證明收集該項資料的必要性,獲得批准後才可進行。在收集過程中,機構亦須向用戶列明資料的用途、何時會被銷毀等。
要求加快通報 提升公眾私隱意識
除了加強規管,政府亦應向企業加強問責,要求盡快通報資料外洩事件。歐盟今年較早前實施的《通用資料保障條例》(General Data Protection Regulation)列明「資料控制者須向監管機構通報資料外洩事故,不可不當地延誤」。但香港現時的《個人資料(私隱)條例》則沒有此強制性規定。
以國泰事件為例,公司於今年三月得悉事件,五月確認資料外洩,延至十月才公布事件,令人擔憂相隔五個月期間國泰有否執行補救措施,甚至其他資料有否外洩。與之相比,歐盟規定機構在事件發生後72小時內需要通報,縮短強制性通報時間有助機構和公署處理事件,並將影響減至最小。
另外,用戶亦有清楚知悉條款的責任。縱使現時在下載應用程式時,系統會在條款細則中顯示出用戶將有甚麼類別的資料被收集,但卻鮮有人細閱相關細則,用戶變相對自己的權益、資料被使用情況不知情。
由此可見,加強公眾教育是重要一環,公署有定期舉辦講座,提高公眾對條例認識和了解保障個人私隱的重要性,公署亦有安排網上學習資源供不同人士。然而,這些講座普及度不高,公署需考慮如透過社交媒體加強宣傳。
規管、問責、教育三者環環緊扣,透過審視並修訂現行法例,要求機構承擔通報責任和教育用戶提高對個人資料的保障。政府、機構和用戶也有責任做好自身角色,才能避免嚴重外洩事件再次發生。
文章只屬作者觀點,不代表本網立場。