个人资料私隐专员在「香港律师」的文章
「Cookies」 - 可曾是你的选择? (2019年11月)
在你上网时,「cookies」几乎是不可避免的。尽管「cookies」存在已久,我们又应否在本港对其加强监管呢?
「Cookies」是个人资料吗?
「Cookies」是网站储存在用户装置内的细小电脑档,它可让网站营运者追踪用户的网上活动。根据本港的《个人资料(私隐)条例》,只有当资料是与一名在世人士有关,并以可供查阅及处理的方式记录下来,而同时可切实可行地直接或间接确定该人的身分,该资料才构成个人资料。我们会考虑整体情况去确定该资料是否属于个人资料。
行政上诉委员会(委员会)有几个案件也涉及网上识别符。在委员会 No.16/2007一案中,委员会认为IP位址是关于没有生命的电脑的信息,而非有关个人的信息。同时,单独一个IP位址本身亦不能揭露电脑用户的身份,故缺乏「个人资料」的特征。在委员会 No.25/2012案件中,向免费电子邮件服务供应商注册用户名「Huoyan_1989」的电邮地址并不足以确定用户的身份,故亦不被视为个人资料。按照同样逻辑,「cookies」可被视为只是匿名电脑用户的浏览历史,因此不是个人资料。
尽管如此,随着近年来数据挖掘、大数据分析和个人概况汇编的技术迅速发展和普及,日后若有相关案件被提交至委员会时,委员会对网上识别符的旧有看法将无可避免地会在相关个案中被重新审视,这尤其是当案件涉及到「cookies」,因为「cookies」不只是与没有生命的电脑有关,而透过追踪其用户的互联网浏览纪录,它们可推断出关于用户的私密或敏感的个人资料,例如政治立场、健康状况和性取向等。
对私隐的影响
某些类型的「cookies」的私隐侵犯程度比其他类型的为高,例如,第一方「cookies」由网站营运者出于追踪网站功能和绩效需要而直接放置,因此会为网站用户带来好处。第三方「cookies」多是营销「cookies」,它们可以追踪用户的网上活动,从而向广告商提供详细的个人信息和概况汇编,以进行针对性广告活动。
当涉及跨站追踪「cookies」时,尤其令人担心的是,第三方营销「cookies」不仅追踪用户在指定网站上的活动,更会追踪用户在一系列使用相同广告商服务的网站上的活动。随着时间过去和充份追踪用户浏览的活动,放置「cookies」的广告商便能观察或推断网站用户的行为模式,以建立网站用户的个人资料档案,并将它们放入「区隔」中,最终以相当了解的方式猜测用户的兴趣。无论广告属于商业或政治性质,这能让广告商向特定浏览器投放针对性广告 。
使用第三方「cookies」亦带出了几个私隐问题,特别是该做法的透明度、用户对其个人资料被追踪及其后被使用和分享的同意(如有的话)的有效性。
海外司法区的规管方法
为加强保障私隐,许多海外司法区已选择扩大涵盖「cookies」至受规管的个人资料的范围内,就如于2018年5月生效的欧盟的《通用数据保障条例》。根据《通用数据保障条例》敍文 30,网上识别符即是例如与个人有关连的IP位址、「cookies」识别符、RFID标籤等,它们或会被用作创建其个人概况汇编及识别个人身份。只要网上识别符能辨别出一个人的身份,即属个人资料。欧盟委员会认为,「只要『cookies』是作识别用户之用,就是个人资料,因此受《通用数据保障条例》的规管。」
英国、法国和德国的个人资料保障执法机关最近各自发布了有关储存或查阅用户装置上的信息技术(包括「cookies」)的指南。它们均强调,放置「cookies」前必须得到用户明确、自愿给予的和清晰的同意,并须向用户提供足够的资讯和选择,均是十分重要的。
此外,欧洲联盟法院于2019年10月在案件C-673/17中裁定,网站营运者在放置和查阅如营销「cookies」等非必要的「cookies」前,必须得到用户主动选择「加入」而给予的明确同意。故此,以预先点选的选框的安排,无论是用作替用户取消选择或选择退出以表示拒绝同意,已不再足够。这判决收紧了《欧盟通用数据保护条例》下对「cookies」的同意要求,并将对其个人资料的控制权归还给欧盟用户。
更新法律
回到香港,虽然属原则性的《个人资料(私隐)条例》的确提供了空间使其在时代变迁下仍继续适用,但全球数据主导的经济却为私隐保障带来了挑战,以致需要充分保障私隐,以免受「cookies」和其他侵犯私隐的网上追踪工具等技术的影响。在我们生活的世界中,我们的上线的时间甚为普遍,甚至乎比离线时间更多。故此,社会上有合理的呼声要求更新我们的《个人资料(私隐)条例》以扩大「个人资料」的定义,保障网上私隐。