Skip to content

报章专栏

媒体报道

私隐专员接受《星岛日报》访问


无收集个人资料 数据存用户手机
私隐专员派定心丸 证「安心出行」无追踪

政府日前放宽防疫措施,包括延长食肆堂食时间及重开部分场所,而顾客进入餐厅堂食时须使用「安心出行」应用程式或登记个人资料。有市民对「安心出行」保障个人资料私隐方面有忧虑,一些餐厅为免惹起客人不满,选择让顾客以纸笔填写个人资料,或维持晚市不营业。个人资料私隐专员钟丽玲接受本报专访时则大派「定心丸」,自己在「安心出行」程式刚推出时已经下载,经了解及使用后,认为「安心出行」无位置追踪功能,出行数据亦只存放于用户的手机内,程序符合私隐条例要求。
 
「安心出行」推出后,一直未得社会广泛使用,原因之一是市民对私隐的疑虑。有网民发现程式的Android版本要求多项权限,包括容许存取用家的相片、媒体、档案以及储存空间、更改或删除储存体内容、检视网络连线及所有的网络位置和权限等,比起iOS版本仅需存取相机权限为多。有资讯科技界人士认为程式功能不多,与权限要求不成比例。
 
指登记没收集个人资料

不过,个人资料私隐专员钟丽玲表示,自己在「安心出行」程式刚推出时已经下载,「想了解一下程式有没有侵犯私隐」。她认为程式没有私隐问题,就她了解,「安心出行」无位置追踪功能,亦没有收集用户的全球定位系统(GPS)数据,因此程式内不会有主动追踪用户行踪的功能。
 
她续指,用户登记「安心出行」时,程序没有收集用户任何个人资料,「既然不收集你的资料,又如何侵犯私隐?」
 
她特别指出,用户的出行纪录只存放于用户自己的手机,不会备存在任何政府系统内,「就算是(去过的)餐厅、戏院都不会有用户的资料,所以你的资料从头到尾都没有交出去。」
 
有别于星洲有追踪系统

新加坡政府早前推出类似「安心出行」的追踪程序「TraceTogether」,并曾经保证程式搜集的资料只会用于对抗疫情。
 
惟新加坡内政部官员上月公开承认警方能够以调查刑事案件为由取用相关资料,引发私隐疑虑。就此,钟丽玲指本港的「安心出行」有别于新加坡政府采用的接触追踪系统,TraceTogether使用「SafeEntry」访客登记系统,该系统在用户扫描二维码后,将资料直接传送至政府。
 
钟丽玲解释,「安心出行」的数据储存采用了在国际间使用接触者追踪流动应用程式上的「分散」储存,而非「中央」资料储存库。前者意思为资料只存放于用户的手机内的模式,英国、挪威亦是采用同一模式;后者则如同新加坡做法,把资料传至「大台」,例如政府或衞生防护中心,目前有澳洲和印度采用。


修例防「起底」须域外法权 料可规管连登Telegram

政制及内地事务局与私隐公署正研究修订《私隐条例》,以规管起底行为,最快今年内完成具体修例建议。个人资料私隐专员钟丽玲接受本报专访时透露,立法程序仍在草拟阶段,私隐专员订出具体建议后会谘询律政司,再由律政司法律草拟科负责草拟,目前未处理刑罚等细节。就海外平台如连登及Telegram的起底问题,钟表示未必能赶及今个立法年度内修例赋予公署域外法权,但她有相信只要法例赋予公署刑事调查权已足以执法。至于社会有讨论是否引入「被遗忘权」,钟丽玲指该条例与起底无直接关系,暂不须考虑这个范畴。
 
政府资料显示,涉及「起底」投诉的网络平台包括连登、facebook、Instagram及Telegram等,伺服器设于海外。今次修例会否针对海外平台赋予公署域外法权?钟丽玲指暂时不能排除这个考虑,但这方面涉及问题复杂,须考虑是否只针对「起底」罪行,还是纳入其他私隐条例,包括增加执法权、引入行政罚款的机制等。而今次修例时间紧逼,今个立法年度只余数个月,可能要在下一次修例再作全盘考虑。
 
不过她认为问题不大,因为大多海外平台本身既有政策,都会要求移除在当地违法的内容。只要法例赋予公署刑事调查权,有关平台不移除资料已经触犯本地刑事罪行,「从这个角度看我是乐观的」她相信只要有刑事调查权和移除权,不论是在本地或外地的执法应该更加有效。希望到时可以成功移除的个案可以大幅增加。
 
钟丽玲表示当局会参考海外司法管辖区的相关条文,以及香港的本土经验、起底情况,考虑如何具体写新条款。她提到欧盟的《通用数据保障条例》(GDPR)已经是国际上于资料保障的黄金定律,惟本地《私隐条例》与GDPR之间有许多分别,她举出三种认为有需要改进之处︰包括强制性的资料外泄事故通报机制,「我了解全球有八成地区已实行强制性通报,但香港仍未是,这个情况并不理想。」其次是香港私隐专员无权作行政罚款,钟丽玲认为行政罚则是非常有效的执法方式,对商界而言亦相对简便,「因为不需要事事都上法庭。」
 
其三是针对资料处理者(Data Processors)的规管,香港的私隐条例建基于资料使用者,资料处理者不直接受规管。钟解释,二十年前私隐条例引入香港时,资料尚未电子化,很多时资料使用者等同资料处理者,不会分为两个角色。惟发展至今,现时资料使用者往往会把资料交付第三方平台,例如云端等储存库,即是资料处理者。
 
另外,GDPR订明个人享有删除权(亦称「被遗忘权」),即是资料当事人在指定情况下,有权要求机构及企业删除其个人资料。有建制派议员去年曾在立法会上询问政府会否把做法引入香港以加强打击起底行为。不过钟丽玲指该条例与起底无直接关系,暂不须考虑这个范畴。她续指,「被遗忘权」具相当争议性,如果引入要小心考虑和谘询持份者,GDPR亦就该权利例出多项豁免规定,若有违公众利益或保安理由,例如申请个案涉及刑事罪行、诈骗或卫生问题等,有关资料都不可以删除。


转载也违法 随时遭检控

反修例运动期间,有网民利用起底「攻击」不同政见人士,有部分的个人资料被多次发布转载甚至「洗版」。若然起底个案涉及群众,法例又有何对策?
 
钟丽玲指,《私隐条例》第六十四条草拟时是针对「任何人」,即个别人士,不会因犯案者数量而有别,「无论有两个、三个、四个,全部都是犯法,包括转载的人。」她表示,检控过程只会视乎个案是否具备所有犯案元素。「假如真的有十个人都犯法,可能十个都起诉。亦可能某些人的证据较强,定罪机会较高,就针对这些人作检控。」
 
至于记协忧虑政府将「起底」行为与传媒调查工作混为一谈。就此,钟丽玲相信政府部门在提供查册服务时,无论是土地注册处、运输署或生死注册处,每个部门都有其历史,提供查册的目的不尽相同。
 
公署认为在公众登记册上的个人资料都受《私隐条例》保障,欢迎政府加强有关保障措施以打击起底行为。她理解有传媒关注公众知情权问题,认为政府应在政策中就个人资料法律保障及知情权作出平衡。


拟降低举证门槛减执法难度

由于现时起底行为有关罪行的举证门槛过高,当局去年至今只能成功检控两宗个案。原因出自《私隐条例》第六十四条,字眼中列明︰「任何人披露未经资料使用者同意而取自该资料使用者的某资料当事人的任何个人资料;而该项披露导致该当事人蒙受心理伤害,该人即属犯罪。」条文中值得留意的是,因其定罪门槛包括「未经资料使用者同意」。
 
「使用者」可改为「当事人」
 
「资料使用者」是指收集他人的个人资料的人士或机构。例如有客户把个人资料交予保险公司,或者病人把病历交给医院,在以上情况中,客户和病人是资料当事人;保险公司及医院即是资料使用者。
 
钟丽玲解释,立法背景是为防止有人未经医院同意下,把患者病历作不当披露;惟现实「起底」情况中,执法部门难以证实散播者从何途径得到资料,继而亦无从证明散播者未取得「资料使用者」同意。
 
钟丽玲认为可以把「未经资料使用者同意」改为「未经资料当事人同意」,便可以降低举证门槛。她强调,取得资料当事人同意,比起取得资料使用者同意更为重要。

Copyright © 2021, Sing Tao Daily. Reproduced by permission.