報章專欄

私隱專員接受《星島日報》訪問

無收集個人資料 數據存用戶手機
私隱專員派定心丸 證「安心出行」無追蹤

政府日前放寬防疫措施，包括延長食肆堂食時間及重開部分場所，而顧客進入餐廳堂食時須使用「安心出行」應用程式或登記個人資料。有市民對「安心出行」保障個人資料私隱方面有憂慮，一些餐廳為免惹起客人不滿，選擇讓顧客以紙筆填寫個人資料，或維持晚市不營業。個人資料私隱專員鍾麗玲接受本報專訪時則大派「定心丸」，自己在「安心出行」程式剛推出時已經下載，經了解及使用後，認為「安心出行」無位置追蹤功能，出行數據亦只存放於用戶的手機內，程序符合私隱條例要求。
 
「安心出行」推出後，一直未得社會廣泛使用，原因之一是市民對私隱的疑慮。有網民發現程式的Android版本要求多項權限，包括容許存取用家的相片、媒體、檔案以及儲存空間、更改或刪除儲存體內容、檢視網絡連線及所有的網絡位置和權限等，比起iOS版本僅需存取相機權限為多。有資訊科技界人士認為程式功能不多，與權限要求不成比例。
 
指登記沒收集個人資料

不過，個人資料私隱專員鍾麗玲表示，自己在「安心出行」程式剛推出時已經下載，「想了解一下程式有沒有侵犯私隱」。她認為程式沒有私隱問題，就她了解，「安心出行」無位置追蹤功能，亦沒有收集用戶的全球定位系統（GPS）數據，因此程式內不會有主動追蹤用戶行蹤的功能。
 
她續指，用戶登記「安心出行」時，程序沒有收集用戶任何個人資料，「既然不收集你的資料，又如何侵犯私隱？」
 
她特別指出，用戶的出行紀錄只存放於用戶自己的手機，不會備存在任何政府系統內，「就算是（去過的）餐廳、戲院都不會有用戶的資料，所以你的資料從頭到尾都沒有交出去。」
 
有別於星洲有追蹤系統

新加坡政府早前推出類似「安心出行」的追蹤程序「TraceTogether」，並曾經保證程式搜集的資料只會用於對抗疫情。
 
惟新加坡內政部官員上月公開承認警方能夠以調查刑事案件為由取用相關資料，引發私隱疑慮。就此，鍾麗玲指本港的「安心出行」有別於新加坡政府採用的接觸追蹤系統，TraceTogether使用「SafeEntry」訪客登記系統，該系統在用戶掃描二維碼後，將資料直接傳送至政府。
 
鍾麗玲解釋，「安心出行」的數據儲存採用了在國際間使用接觸者追蹤流動應用程式上的「分散」儲存，而非「中央」資料儲存庫。前者意思為資料只存放於用戶的手機內的模式，英國、挪威亦是採用同一模式；後者則如同新加坡做法，把資料傳至「大台」，例如政府或衞生防護中心，目前有澳洲和印度採用。


修例防「起底」須域外法權 料可規管連登Telegram

政制及內地事務局與私隱公署正研究修訂《私隱條例》，以規管起底行為，最快今年內完成具體修例建議。個人資料私隱專員鍾麗玲接受本報專訪時透露，立法程序仍在草擬階段，私隱專員訂出具體建議後會諮詢律政司，再由律政司法律草擬科負責草擬，目前未處理刑罰等細節。就海外平台如連登及Telegram的起底問題，鍾表示未必能趕及今個立法年度內修例賦予公署域外法權，但她有相信只要法例賦予公署刑事調查權已足以執法。至於社會有討論是否引入「被遺忘權」，鍾麗玲指該條例與起底無直接關係，暫不須考慮這個範疇。
 
政府資料顯示，涉及「起底」投訴的網絡平台包括連登、facebook、Instagram及Telegram等，伺服器設於海外。今次修例會否針對海外平台賦予公署域外法權？鍾麗玲指暫時不能排除這個考慮，但這方面涉及問題複雜，須考慮是否只針對「起底」罪行，還是納入其他私隱條例，包括增加執法權、引入行政罰款的機制等。而今次修例時間緊逼，今個立法年度只餘數個月，可能要在下一次修例再作全盤考慮。
 
不過她認為問題不大，因為大多海外平台本身既有政策，都會要求移除在當地違法的內容。只要法例賦予公署刑事調查權，有關平台不移除資料已經觸犯本地刑事罪行，「從這個角度看我是樂觀的」她相信只要有刑事調查權和移除權，不論是在本地或外地的執法應該更加有效。希望到時可以成功移除的個案可以大幅增加。
 
鍾麗玲表示當局會參考海外司法管轄區的相關條文，以及香港的本土經驗、起底情況，考慮如何具體寫新條款。她提到歐盟的《通用數據保障條例》（GDPR）已經是國際上於資料保障的黃金定律，惟本地《私隱條例》與GDPR之間有許多分別，她舉出三種認為有需要改進之處︰包括強制性的資料外泄事故通報機制，「我了解全球有八成地區已實行強制性通報，但香港仍未是，這個情況並不理想。」其次是香港私隱專員無權作行政罰款，鍾麗玲認為行政罰則是非常有效的執法方式，對商界而言亦相對簡便，「因為不需要事事都上法庭。」
 
其三是針對資料處理者（Data Processors）的規管，香港的私隱條例建基於資料使用者，資料處理者不直接受規管。鍾解釋，二十年前私隱條例引入香港時，資料尚未電子化，很多時資料使用者等同資料處理者，不會分為兩個角色。惟發展至今，現時資料使用者往往會把資料交付第三方平台，例如雲端等儲存庫，即是資料處理者。
 
另外，GDPR訂明個人享有刪除權（亦稱「被遺忘權」），即是資料當事人在指定情況下，有權要求機構及企業刪除其個人資料。有建制派議員去年曾在立法會上詢問政府會否把做法引入香港以加強打擊起底行為。不過鍾麗玲指該條例與起底無直接關係，暫不須考慮這個範疇。她續指，「被遺忘權」具相當爭議性，如果引入要小心考慮和諮詢持份者，GDPR亦就該權利例出多項豁免規定，若有違公眾利益或保安理由，例如申請個案涉及刑事罪行、詐騙或衛生問題等，有關資料都不可以刪除。


轉載也違法 隨時遭檢控

反修例運動期間，有網民利用起底「攻擊」不同政見人士，有部分的個人資料被多次發布轉載甚至「洗版」。若然起底個案涉及群眾，法例又有何對策？
 
鍾麗玲指，《私隱條例》第六十四條草擬時是針對「任何人」，即個別人士，不會因犯案者數量而有別，「無論有兩個、三個、四個，全部都是犯法，包括轉載的人。」她表示，檢控過程只會視乎個案是否具備所有犯案元素。「假如真的有十個人都犯法，可能十個都起訴。亦可能某些人的證據較強，定罪機會較高，就針對這些人作檢控。」
 
至於記協憂慮政府將「起底」行為與傳媒調查工作混為一談。就此，鍾麗玲相信政府部門在提供查冊服務時，無論是土地註冊處、運輸署或生死註冊處，每個部門都有其歷史，提供查冊的目的不盡相同。
 
公署認為在公眾登記冊上的個人資料都受《私隱條例》保障，歡迎政府加強有關保障措施以打擊起底行為。她理解有傳媒關注公眾知情權問題，認為政府應在政策中就個人資料法律保障及知情權作出平衡。


擬降低舉證門檻減執法難度

由於現時起底行為有關罪行的舉證門檻過高，當局去年至今只能成功檢控兩宗個案。原因出自《私隱條例》第六十四條，字眼中列明︰「任何人披露未經資料使用者同意而取自該資料使用者的某資料當事人的任何個人資料；而該項披露導致該當事人蒙受心理傷害，該人即屬犯罪。」條文中值得留意的是，因其定罪門檻包括「未經資料使用者同意」。
 
「使用者」可改為「當事人」
 
「資料使用者」是指收集他人的個人資料的人士或機構。例如有客戶把個人資料交予保險公司，或者病人把病歷交給醫院，在以上情況中，客戶和病人是資料當事人；保險公司及醫院即是資料使用者。
 
鍾麗玲解釋，立法背景是為防止有人未經醫院同意下，把患者病歷作不當披露；惟現實「起底」情況中，執法部門難以證實散播者從何途徑得到資料，繼而亦無從證明散播者未取得「資料使用者」同意。
 
鍾麗玲認為可以把「未經資料使用者同意」改為「未經資料當事人同意」，便可以降低舉證門檻。她強調，取得資料當事人同意，比起取得資料使用者同意更為重要。

Copyright © 2021, Sing Tao Daily. Reproduced by permission.