文/謝東憶(台權會實習生/香港城市大學社會學系學生) 校稿/何明諠(台灣網路透明報告專案經理)
在數位時代,與個人有關的資料,無論是姓名、電話、生物特徵、甚至一切與活動有關的資料,不管能否直接認出個人,都是具有商業價值,可被使用和販賣。
在香港,2010年,八達通公司(類似悠遊卡)曾被個人資料私隱專員公署揭露,其出售多達197萬名日日賞客戶在填寫申請表格時的個人資料於多間保險公司做直接促銷,從中賺取4,400萬港元的巨額,而市民卻被蒙在鼓裏。其實,八達通獎賞公司出售個人資料以取得利潤的方式,在香港並非特例。
這也是何以2012年在修訂《個人資料(私隱)條例》時,特別針對直銷活動加強規範,規定資料使用者(例如直銷商)必須事先通知,並取得當事人的同意,才可使用其個人資料或將資料轉交第三者以作直接促銷產品/服務之用的原因。
公署簡介
香港的個人資料私隱專員公署(以下簡稱公署),是在1996年8月成立的獨立法定機構,目的是監察同年12月生效的《香港法例》第486章《個人資料(私隱)條例》(以下簡稱《條例》)的施行。
個人資料私隱專員(以下簡稱專員)是根據《條例》而設立的職位,任期為五年,由政府公開招聘及遴選委員會推薦,最後由行政長官委任。現任專員黃繼兒先生於2015年上任,上任前為執業大律師。
條例介紹
簡單而言,《條例》的目的是要確保個人資料隱私這項基本權不被任意侵犯。任何意圖搜集、處理、利用個人資料的人(包括私營機構、公營機構及政府部門)都須遵從條例的規定。下圖是六項保障個人資料的原則。而在2012年,條例經過修訂,修訂後的條例賦予公署更大的執法權力,並加重違反條例的刑罰[1]。修訂後的條文大部分自2012年10月開始實施,至2015年12月31日,經公署轉介予警方進行刑事調查的個案共53宗,2015年共有4宗定罪。
公署的職責,及個人資料法的保障
具體來說,隱私專員的職責及權力包括:(一)加強各界對《條例》的認識和理解,以及促使各界遵守《條例》的規定;(二)核准及發出實務守則;(三)調查涉嫌違反《條例》的個案;(四)視察機構的個人資料系統;(五)核准核對程序的申請;(六)進行個人資料隱私意見調查;(七)與海外的資料保護機構保持聯繫及合作。
《條例》保障的是個人資料的隱私權。所謂個人資料,即是與一名在世人士(資料當事人)有關,且從中可直接或間接確定該人士身份的任何資訊(如個人的姓名、電話號碼、地址、身份證號碼、相片、病歷和受僱紀錄等 )。此類資訊必需是可切實作出查閱及處理得資訊。
依《條例》規定,任何操控個人資料的收集、持有、持處理或使用的人(資料使用者,包括私營機構、公營機構及政府部門)皆須遵守條例的規定。特別是《條例》核心的六項保障資料原則(如上圖),此六項原則涵蓋了每項個人資料由收集、保存、使用 以至銷毁的整個生命周期。
公署的工作
公署的最主要工作,是接獲及處理查詢和投訴,對有問題的案子進行調查。
如果你懷疑你的個人資料私隱權被侵犯,與有關人士表達關注和交涉不果後,則可向公署投訴(詳細流程圖表如下)。
從下圖中可見,公署2015–16年度接獲的投訴,是近6年的新高,而其中投訴私營機構屬最多。在2013宗已完結個案中,最多的是公署只向投訴和被投訴雙方傳達對關注又或沒有回應(39%);有12%的投訴個案在初步查訊期間經公署調停或調解而得到解決,被投訴者對投訴人提出的問題作出適當的糾正;4%在正式調查後獲得解決,2%交由其他規管機構例如警方跟進。投訴案件的增加,雖可能意味著市民隱私意識的提升,但公署實際著手處理的案件比例始終在低空徘徊。
而在受理申訴案件外,公署亦擁有視察及主動調查權。若專員相信有個案涉嫌違反《條例》,則可根據《條例》第38(b)條,主動就有關事宜進行調查。
在2008年12月,當時的專員面對連串的公立醫院病人資料外洩事故,便首次引用視察權力,審視醫院管理局的病人資料保安系統,在四位自願提供協助的專家參與下完成視察,向醫院管理局提出多項建議,最終醫院管理局亦接納相關建議並做出改善。
在2015年,公署運用主動調查的權力,發現58則機構沒有披露其身份而刊登的匿名招聘廣告,以不公平方式收集求職者的個人資料,違反了《條例》第1(2)原則:訂明個人資料須以在有關個案的所有情況下屬公平的方式收集。於是向僱主們發出執行通知[2],指令他們刪除已收集的求職者資料(除非求職者同意其資料被保留以繼續招聘程序等)。
不偏不倚的公署?
儘管公署是法定、具主動調查權的獨立機構,但專員在中立性上也有遭人詬病之處。上一任專員蔣任宏在2014年公佈人對人直銷電話的調查,呼籲政府加強規管後,卻隨即收到「商務及經濟發展局」局長蘇錦樑來信,表達蔣在公佈調查前一天才知會局方的不滿。
或許因此原因,在2015年蔣任期屆滿,且仍未公開決定是否續任時,政府即公開招聘其職,也因而遭立法會議員質疑是否因蔣調查直銷電話一案而得罪政府[3]。
由於專員皆需經過委員會[4]遴選及行政長官任命,因此當專員的立場與政府不符時,續任的機率就大幅降低。也因專員與政府間的這層曖昧關係,市民時常不得不質疑專員的中立性,並在投訴與政府部門有關的案件時,適度地語帶保留。
令人質疑的公正性在今年(2017)三月的特首選舉中格外引人注目。因為在特首選舉期間,選舉事務處遺失了兩部手提電腦,且其中一部載有1200名特首選委及全港378萬登記選民的個人資料。這顯然是政府的嚴重行政疏失,但公署卻僅表示有向選舉事務處跟進事件,且因有其他部門已就事件發表調查報告,故無需作出主動調查。此次個資外洩事態嚴重,300多萬市民的個人資料恐遭不法濫用的災難,公署卻未行主動向有關部門問責,只草草了事,就難免讓人有官官相衛的感覺。
公署面對的難題
公署面對的首要問題是,條例目前並未區分「非敏感」與「敏感」的資料,這導致所有類型的個資都受到相同程度的規範。而這個區分的建議更是名列2012的修法建議的第一點,可惜仍未受到採納。
在案例上,曾有公司要求收集職員的指紋,以便職員透過指紋識別裝置進入辦公室或記錄上下班時間。無可否認,指紋識別裝置對公司的運作和解決保安問題極為方便,但指紋卻也是人類與生俱來獨特的生理特徵,而如今在低度規管的狀況,這樣的敏感資料很可能遭到不當卻合法的利用。
另一個值得關注的事項是,《電子健康紀錄互通系統條例》已於2015年12月2日生效,在參與電子健康紀錄互通系統(「互通系統」)的病人同意下,獲授權的公私營醫護提供者可取覽和互通病人的健康資料,作醫護相關用途。這類涉及身體、精神健康的敏感資料,在當前的低度規管下,是否會有不當的使用及存取,也令人憂慮。
另外,條例第33條原則上禁止將個人資料移轉至香港以外地方,但自條例訂立至今卻仍未實施。近年越來越多資料使用者把處理個人資料的程序外判予香港以外地方的服務代理,過去亦曾發生過有銀行將信用卡中心等服務北移,客戶個人賬戶資料亦轉移內地,而引起爭議。如果這些地方都沒有制定私隱法例保障個人隱私,一旦資料外洩便無法追究。所以,公署應儘快落實規範跨境資料的轉移,防患於未然。
結論
公署除了處理投訴案件,主動調查外,也一直致力於推廣及教育活動,為不同的持份者舉辦專題講座、研談會及研習班,拍攝宣傳片加強公眾教育,推廣保障個人資料隱私的訊息。
雖然如此,我們也看到當專員因行政壓力而無法真正獨立於政府外時,將導致職權無法貫徹,從而無法確保市民的隱私權不受無理侵害。此外,當公署還沒有對敏感資料做嚴格規管,而電子健康紀錄互通系統已開始運作,再加上《條例》第33條禁止境外資料外移尚未實施時,隨著社會的發展及商業模式的改變,我們的個人資料將會遭到各種不同形式的外洩及濫用。
所以,當科技愈趨發達,隱私監查的工作便愈值得關注,而公署應該更及時的檢視條例的適用性,以求更完善的保障市民的隱私權。
註釋
[1]最高罰款由一萬元提高至五十萬元及監禁三年。而違規行為牽涉為得益而轉移個人資料供第三者作直銷之用,最高刑罰是罰款一百萬元和監禁五年,可以更有效地監管直接促銷活動中不當使用個人資料的情況。
[2]這些僱主在收到執行通知的兩個月內,須分階段完成上述指 令。根據條例第 50A 條,違反執行通知即屬犯罪,一經定罪,可處罰款$50,000及監禁2年,如罪行在定罪後持續,可被處每日罰款$1,000。違法者若故意重複違反保障資料原則即屬犯罪,在不需要再次發出執行通知的情況下,可處相同刑罰。
[3] http://hk.apple.nextmedia.com/news/art/20150803/19241556
[4]2015年的遴選委員會由陳智思擔任主席,成員包括鄭若驊、徐尉玲博士、政制及內地事務局局長和商務及經濟發展局局長。
