今天是我作為個人資料私隱專員五年任期的最後一天。告別從來都不容易,也許我可以藉此分享一些感想,回顧我們的角色、工作,以及我對未來形勢的一些想法。
私隱保障形勢
我在2010年8月履新時,八達通事件剛剛曝光,全城哄動,調查工作仍在如火如荼地進行,工作十分繁忙又極具挑戰。
過去五年,私隱的保障形勢瞬息萬變,當中有兩範疇顯著地惹人關注的。第一,屢次發生大規模的侵犯個人私隱事件,本港例子有2010年的八達通事件、國際則有2013年史諾登披露的政府監控人民風波,這些事件無疑提高了消費者以及機構的個人資料私隱意識,亦加強了他們自身對私隱權利和義務的理解。第二,在今天數碼社會,嶄新資訊科技廣泛地應用,令收集和使用個人資料變得前所未有之容易及快捷。資訊科技的發展為社會和經濟帶來巨大利益的同時,對個人私隱也帶來嚴重的風險,我們不得不嚴正處理個人資料保障這課題。
私隱是個富爭議議題
私隱本身是一個富爭議的議題,我們從近年公署處理的嚴重侵犯私隱投訴個案,可見一斑。
其中一個事例是2012年,三位電視藝員投訴兩本娛樂雜誌通過有計劃的監察,以長焦距鏡等攝影器材偷拍三人在家中的私人活動及親密行為,並公開刋登該些照片於雜誌內1。這事件觸及了新聞採訪和個人私隱權之間的平衡。
另一個事例是我在2013年調查一個智能手機的應用程式, 該程式容許用戶輸入目標人物的姓名,便可搜索到當事人的破產及訴訟等資料2。該些個人資料是從公共登記冊蒐集和編纂出來,當時我希望藉此糾正一些誤解,以為在公共領域的個人資料不受保障,可以讓人肆無忌憚地被再使用。雖然該有關的營運者已遵從我們發出的執行通知,停止了程式的運作;然而,事件亦引起資訊科技界的一些人士關注到個人私隱的保障可能會妨礙科技的發展。
近日我們促請政府積極考慮引入立法或行政的措施,確保公共登記冊上的個人資料不會被不恰當地使用3。儘管我們只是針對個人資料被濫用(即在合法的情形下仍可使用資料,而且不是指所有政府的資料),但隨即引起香港記者協會的反對,他們認為這會影響言論自由、新聞自由和政府的透明度4。
在個人私隱權利和其他權利/利益需取得平衡
正如我在多個場合強調,我們不是主張私隱成為一項絕對權利。我們需要因應情況在私隱權和其他權利/利益下尋求平衡,包括言論和新聞自由。這些權利在一個公民社會是同等重要的,不存在某一個權利會亳無保留地凌駕於另一個權利的情況。
我相信合法使用個人資料和防止濫用個人資料的兩者之間,是可以有中間方案以 兼顧兩方面的訴求;平衡不同利益及權利,也絕不會一定導致「你輸我贏」的局面。然而,倘若有關持份者把情況推至兩極化,或不試圖找出一個平衡點,擁有最終決定權的政府往往便會以社會未達一致共識為由,在立法及行政保障措施上,原地踏步。過去我們提出數個議題,例如限制查閱(並不是禁止)公司董事完整的住址及身份證號碼,以及纏擾法,當局最終都決定擱置立法工作5,令人遺憾。
這兩極化的取態不利於公民社會的健康發展,而且大多時候都犧牲了其他許多人的私隱保障,這些沉默的大多數未必充分掌握箇中的私隱危機6,即使他們感同身受,亦未必會站出來爭取自己的私隱權7。
私隱專員行使法定權力的獨立性
正因如此,私隱專員在私隱和保障資料上的倡導工作及執法權力是極為重要的。慶幸的是香港《個人資料(私隱)條例》賦予私隱專員高度的獨立運作權力。
私隱專員由行政長官委任,任期五年;獲委任的專員只可在兩種情況下,被行政長官聯同立法會罷免。該兩種情況分別是:無能力執行其職能;或行為不當8。這機制確保了獲委任的專員在任期內職位安穩,可以無所顧忌、不偏不倚、無懼無畏地行使其法定權力。
我相信這闡釋了私隱專員的超然獨立地位,消除不少人的誤會以為公署的主要收入源自政府,因而是政府架構組織的一部分,而在決策上須向指定的局方匯報以獲確認。
不充分的私隱保障造成言論自由的寒蟬效應
不少人以為私隱與言論自由互相牴觸,這不足為奇,卻並非事實。我們須要同時珍惜這兩種權利,兩者互為補足,方可建立一個自由和民主的社會。
私隱權可提供一個受保障的既定空間,讓我們可以忠於自己。我們的私隱受到保障,才可自由地表達、創作、發表丶與人交往以及追尋興趣。從這個角度看,私隱不是隱藏一些秘密,相反是讓你可無忌地追求自己生活的理想。
近數個月來,香港發生了一些重要事例,顯示了私隱若無受到好好的保障,是會妨礙到言論自由。
其中一個事例是香港廣西社團總會遴選學生參與一個海外交流團時,一些學生在訪問中表達了對政改的看法。其後這些訪問學生錄影片段被上載至YouTube,引起了他們被網絡欺凌的事件。
私隱保障不足的最壞境況是我們在社會上,無論是網上或日常交往都不敢暢所欲言。這定會危害一個開放、健康及民主社會的基礎。
私隱不僅是符規
過去五年,我致力個人資料私隱的保障,我領略到的是這絕對不只是一份關乎法律的工作。
私隱專員是一份涉及跨學科的工作。我不相信任何人會有足夠的時間及機會在不同學科,例如管理、公共行政、資訊科技,公共關係、法律等都均具備專業資格。況且,私隱專員的工作不是單打獨鬥的,而是領導及激發具備不同專業知識及經驗的人才,組成團隊,高效率地運作。
我對律師專業最為敬重,過去有賴法律部同事的專業協助以履行我的法定職責。與此同時,我亦相信若機構和執法部門只單單地把私隱及資料保障視為法律及符規事宜,而機構的高層卻毫不參與或參與極少,則很難令私隱及資料保障做得到位。
法律僅提供最低水平的私隱保障,未必完全符合消費者的期望。在大數據時代及公眾對私隱有更高期望的情況下,機構應抱持更積極和防患於未然的態度去處理私隱議題,而不是以亡羊補牢的方式去應對。機構應把個人資料保障納入為企業管治責任的一部分,從上而下貫徹整個機構地推行,由符規躍升為問責是必須的9。這有賴採取整體而周全的私隱管理系統,確保機構有穩妥的政策和程序,應用在所有業務常規、操作程序、產品和服務設計。
我在任期內一再地發表了多份調查報告,引起傳媒廣泛的報道和公眾嚴肅的討論。這些報告發揮了制裁和公眾監察的力量,對涉及調查不符規的機構,以及其他面對相類似私隱問題的機構,產生了警惕的作用。自2011年6月我們更採用了點名批評的方式公布涉及私隱外洩事件的機構,效果顯著,亦喚起機構的最高管理層參與私隱管理,著手防止事件再次發生,並作出補救。我慶幸成功說服了香港特別行政區政府與25間保險公司、九間電訊公司及五間其他行業的機構,承諾推行保障私隱管理系統以得到市民和顧客的信任。而香港銀行公會亦表示銀行業會支持。
私隱保障作為競爭的優勢
在科技高速發展的年代,私隱監管工作與科技發展,尤如龜兔賽跑。在《個人資料(私隱)條例》下科技發展商可能只屬資料處理者,而並非資料使用者,未必受到我們直接監管。但作為監管者,我們更要促請科技發展商必須要成為負責任的企業公民,而不該固步自封地僅遵從法規的最低要求。營商之道,是要提供產品或服務迎合顧客的喜好和取向。因此,無論法規如何,科技發展商應致力確保其產品及服務可提供充分的私隱及資料保障,以符合顧客的私隱期望,贏得他們的信任和支持。
令人鼓舞的是一些科技巨企已把保障私隱成為競爭優勢,在制定商業策略和企業政策時確保有足夠的透明度、公平及具問責度10。
總結
過去五年任期,對我而言,不論在個人及專業的層面上,得到許多珍貴的經驗,獲益良多。我可以肩負使命保障私隱和個人資料,當效綿力,我是引以為傲的。
正如一位科技巨企的環球法律部主管對我臨別秋波時的一席話,我們的使命是「高尚而永遠具挑戰的」,而我們的小團隊已經做到不負所託,「超越期望,發揮影響力」。
我衷心感謝所有持分者及推動私隱倡議者多年來的支持和諒解。同事們盡心盡力,不辭勞苦,我對他們心懷感激。我深信團隊在新領導下會繼續努力進步、縱有挑戰,也會迎難而上。
1 請見公署的新聞稿和調查報告www.pcpd.org.hk/tc_chi/news_events/media_statements/press_20120328.html
2 請見公署的新聞稿www.pcpd.org.hk/tc_chi/news_events/media_statements/press_20130813.html
3 請見新聞稿www.pcpd.org.hk/tc_chi/news_events/media_statements/press_20150728a.html
4 請見香港記者協會於2015年7月28日發出的新聞稿www.hkja.org.hk/site/portal/Site.aspx?id=A1-1380&lang=en-US
5 政府年前決定暫緩處理有關限制查閱公司董事個人資料的立法建議。(請分別見公署的新聞稿及我的網誌 www.pcpd.org.hk/tc_chi/news_events/media_statements/press_20130402.html
www.pcpd.org.hk/tc_chi/news_events/commissioners_message/blog_13062014.html
6 其中一項困難是在資訊流通的互聯網世界,執法機關和受屈人士未必可能追溯到,資料使用者披露資料和導致事故後造成的傷害之間的因果關係。
7 我們最近公佈的公眾態度調查顯示46%的受訪者都曾在過去12個月經歷過自己的個人資料被濫用,當中只有11%的受屈人士會提出投訴。www.pcpd.org.hk/tc_chi/news_events/media_statements/press_20150728b.html
8 《個人資料(私隱)條例》的第5條
9 關於企業管治責任這概念,請看我在Momentum 及《香港特許秘書公會會刊》的兩篇文章 www.pcpd.org.hk/english/news_events/speech/files/2014_momentum.pdf
www.pcpd.org.hk/english/news_events/speech/files/201406_csj.pdf
10 例如,Facebook的環球首席私隱保障主任Erin Egan曾說:「保障人民的資訊及提供有效的私隱控制是我們必然考慮的事情。」同樣地,蘋果的行政總裁Tim Cook 曾說:「在蘋果公司,我們相信良好的消費者體驗,不應以犧牲私隱作為代價。」