公民點對點:電子化時代 泄私隱陷阱處處
【明報專訊】科技資訊日益發達,我們日常上網、看串流影集、使用電子支付時,各機構都可能蒐集不同層面的個人資料。
個人私隱條例Q&A
Q:什麼是個人資料?
A:根據《個人資料(私隱)條例》(下稱《私隱條例》),「個人資料」須符合3項條件:
1.直接或間接與一名在世人士有關
2.切實可行可從該等資料直接或間接地確定該人的身分
3.切實可行可查閱及處理該等資料
個人資料的例子包括但不限於姓名、電話號碼、地址、性別及年齡等。舉例安裝閉路電視拍攝他人的影像,並儲存攝錄片用作識別他人的身分,屬蒐集個人資料。
Q:市民的個人資料如何獲得保障?
A:《私隱條例》於1996年實施,保障市民的個人資料私隱。假如市民懷疑個人資料私隱被濫用,可向私隱專員公署投訴。
不過《私隱條例》中有若干特定豁免事項,包括保安、防衛、防止或偵查罪案、評稅或收稅、新聞活動及健康等,資料使用者可獲豁免規定。
資料來源:私隱專員公署網頁
私隱公署:2023年泄資料157宗 按年增五成
個人資料私隱專員公署2023年錄得157宗資料外泄事故通報,為歷年新高,較2022年增50%,其中48宗來自公營機構;有64宗(41%)涉及黑客入侵,較2022年29宗增1.2倍。
2023年發生多宗資料外泄事故,如數碼港電腦系統於8月遭黑客入侵,導致逾400GB資料在「暗網」被公開。私隱公署2024年4月發表調查報告,指事故有13,632人受影響,近四成屬個人資料被保留超過應有期限,惟數碼港未能解釋。公署批評數碼港有5項缺失,包括未為遠端存取資料啟用多重認證功能,裁定數碼港違反《私隱條例》資料保安及保留規定,並向數碼港發出執行通知,要求兩個月內糾正違反事項。
另一宗大型事故為消委會電腦系統2023年9月遭黑客入侵7小時,包括約8000名曾提供信用卡資料的《選擇》月刊訂戶受影響。公署稱,同月接獲通報後隨即調查,截至2024年1月已向消委會3次查詢,獲回覆5次。
此外,2023年資料外泄事故中,有23宗涉及即時通訊媒體被黑客騎劫,逾1600名用戶受影響。公署2023年向23個平台發出378個停止披露通知,涉及逾萬個「起底」信息,遵從率逾95%,成功移除117個用作「起底」的頻道。
個人資料私隱專員鍾麗玲2024年4月表示,正與政府研究修訂私隱條例,強制外泄個人資料的機構必須通報公署,提高違例的所有罰則,引入行政罰款機制,並會參考海外不同司法管轄區做法。
■知識增益
公署推「懶人包」 籲慎用手機保私隱
2024年3月私隱專員公署推出「懶人包」,提醒市民使用智能電話及社交平台時保護個人私隱,包括在社交媒體發布資訊時,不要隨意於相片標註(tag)其他人,亦請市民注意社交平台上的資訊可以在不知情下被廣泛分享。公署建議市民在社交媒體平台上保持警覺,對來自第三方的應用程式保持警惕,提防資料外泄及失敗的登入嘗試,並終止閒置的帳戶。
個人私隱爭議例子
點餐App蒐顧客資料促銷 公署籲食肆說明用途目的
私隱公署2023年11月至2024年1月派員走訪60間本地食肆,測試電子點餐時蒐集及使用顧客個人資料情G。在10間提供手機應用程式的食肆中,星巴克及譚仔三哥米線等4間食肆均要求顧客註冊帳戶才能用App點餐。雖然其中6間接受顧客以訪客身分用App點餐,惟大家樂及大快活等4間食肆在顧客以訪客身分結帳時,仍會蒐集其個人資料。
另外50間提供二維碼點餐服務的食肆,有4間要求顧客在點餐或結帳前自行選擇提供電話及/或電郵;其中「KiKi麵店」蒐集顧客手機號碼及提供點餐服務前,未有說明蒐集資料目的及用途。公署經書面查詢後,引述該食肆稱剛完成系統更新,並已取消顧客電子點餐時蒐集個人資料。
公署提醒顧客以二維碼點餐時若遇到蒐集資料,應先了解可否不提供資料或僅提供所需最少資料,掃碼前亦要留意二維碼有否被竄改。公署稱上述60間食肆均有提供非電子方式點餐。公署建議食肆向顧客提供不涉及蒐集個人資料的點餐方式;若提供二維碼點餐,應考慮有否實際需要蒐集資料,若蒐集資料,需提供聲明說明目的和用途,亦應容許以訪客身分用App點餐,按實際需要不蒐集或蒐集最少資料。
大灣區推數據過河 學者籲生物樣本多考慮私隱
香港創新及科技局聯同國家互聯網信息辦公室於2023年12月共同公布《粵港澳大灣區(內地、香港)個人信息跨境流動標準合同》(《大灣區標準合同》)便利措施及先行先試安排。
現時內地對數據出境有嚴格規定,其中個人資料的處理受《個人信息保護法》限制,處理少於100萬人的個人資料依《個人信息出境標準合同辦法》處理,個人信息處理者向境外提供個人資料前,要展開6方面的重點評估。而《大灣區標準合同》便利措施包括豁免個人信息處理者跨境轉移個人資料的數量限制,意味機構若處理多於100萬人資料時,毋須另行申請;另在個人信息保護影響評估方面,由6項減至3項。便利措施僅限大灣區內地9市及香港,內地其他地方數據出境要沿用原有方法。
《大灣區標準合同》同時容許本港資料跨境北上,但仍受本港法例所限。私隱專員公署表示本港個人資料跨境傳送內地,仍要符合《私隱條例》要求,其中保障資料第三原則規定,轉移個人資料出境要獲當事人的訂明同意。創科局稱,香港個人資料的處理及出境按自願原則及《私隱條例》規管,合同只屬行政措施,不影響私隱專員公署依條例的遵守情G監察及監管。
本港與深圳市政府正研究在「河套深港科技創新合作區」便利兩地研究數據和樣本交流,包括臨H生物樣本。香港大學協理副校長(研究)黃思齊表示,容許數據或樣本「過河」對研究當然有好處,但臨H生物樣本不止包括從病人身上採集的樣本,亦隱含病人資料,涉及私隱保障等各種問題,認同須「再考慮多少少」。
警倡學校裝CCTV 包括課室 教局:須持份者共識
警務處2023年5月推出新網站「安全城市.香港」(SafeCity.HK),涵蓋「處所保安」資訊,當中列出學校保安一些「良好做法」,建議在停車場、貴重財物存放地點、主要出入口、接待處、樓梯、走廊、課室等安裝閉路電視。
教育局回覆查詢稱,學校安裝保安系統包括閉路電視屬校本決定,須審慎考慮是否必要、合理及公開,並取得持份者共識,在保安與私隱之間取得合理平衡。警方回覆,網站中的保安建議和良好做法分享旨在協助市民及不同機構預防罪案,有關機構應就實際情G考慮如何採納。
2021年3月,有家長投訴香港路德會增城兆霖學校在操場、各層走廊、梯間等位置安裝閉路電視鏡頭,事前沒諮詢家長,擔心學生私隱受侵犯,並質疑學校應清晰具體列明「定時刪除影像」的時間,以及誰獲授權檢視影像。校方回覆稱,為保障學生安全及加強學校保安,學校一直設閉路電視系統,由於部分設施損牷A故2019年暑假及2021年2月完成「優化完善工程」,並已發通告通知家長閉路電視監察位置、安裝目的、查看權限等,重申沒計劃在課室安裝閉路電視。
■模擬試題
顧問教師:陳志華
(1a)根據資料,指出市民對數據過河的實施可能存在的一個疑慮。(1分)
(1b)參考資料,說明《私隱條例》可如何釋除該疑慮。(2分)
(2)在公共場所安裝閉路電視如何有利提升市民的生活素質?參考資料,解釋你的答案。(6分)
■參考答案
(1a)病人資料或遭外泄,其個人私隱可能不受保障。
(1b)條例方面,《大灣區標準合同》受香港法例包括《私隱條例》限制,可保障港人的私隱權益。參考資料,私隱專員公署指「數據過河」要符合本港《私隱條例》要求,須獲相關人士同意才可將數據出境。監管方面,數據過河亦受署方監察及監管,以釋除港人資料或遭外泄的疑慮。
(2)(圖3)
(本網發表的作品若提出批評,旨在指出相關制度、政策或措施存在錯誤或缺點,目的是促使矯正或消除這些錯誤或缺點,循合法途徑予以改善,絕無意圖煽動他人對政府或其他社群產生憎恨、不滿或敵意。)
[智學公民 第088期]
