保私隱與時並進 數據安全妥審視
30/01/2024
私隱專員公署發表去年工作報告,喜憂參半。公眾樂見「起底」個案大減,壓低整體投訴量,惟涉及個人資料外洩的通報,卻創下歷年新高,而且個別重大事故的調查報告尚未遞交,在在反映私隱條例仍有所偏廢。
在網絡世代,法規有需要與時並進,不僅要在個人層面,防範公私營機構過分收集資訊,更要全盤審視如何安全管理數量和價值均與日俱增的大數據。
禁起底見成效 欠權力查外洩
公署去年接獲近3,600宗投訴,按年跌約7%,當中牽涉起底性質者,以及署方主動網上巡查發現的案件,合計有765宗,大跌57%。
因應社會運動修訂的《私隱條例》反起底部分2021年10月生效後,公署不僅獲得刑事調查權,亦可拘捕檢控,且就相關罪行發出停止披露通知。雖然通知對象大部分是海外平台,但未見公署鞭長莫及,信息移除遵從率已升至95%。私隱專員鍾麗玲也指,打擊有成效,暫不需採取強硬舉措,尋求封閉Telegram。
署方針對以金錢、感情糾紛為主的惡意起底,堪稱雷厲風行,但在範圍更廣的一般信息處理,卻仍像「無牙老虎」,無論於商企前期的資訊收集,到後期的外洩事故皆然。
公署昨揭示,本港10間設程式點餐的食肆,悉數追蹤用戶數據來直接促銷,絕大多數預設同意,更有餐廳沒提供任何選擇權,但署方只能提供「建議」,教市民自保,促商企改進。
這明顯不及歐盟完備的《通用數據保障條例》(GDPR),要求由客戶主動「選擇參與」(opt-in)分享個人數據,且有權「選擇退出」(opt-out),如停收宣傳電郵。
當私隱規例不能勒令機構限時刪除個人資料,疊加網絡保安人才不足、制度疏失等連串問題,便觸發數碼港去年遭黑客攻擊入侵後,連離職多時的員工都成暗網外洩的受害者。數碼港、消委會及Carousell等至今未能為重大事故提交報告,私隱公署亦無能為力。
為應對網絡科技新挑戰,港府去年11月表示,正與公署研究私隱條例,強制資料外洩通報、賦權專員作行政罰款、直接規管資料處理者,及釐清個人資料定義等,將參考其他司法管轄區及本港實況作建議。
釐清資訊收集 確立監管權責
隨著人工智能愈趨盛行,公私營機構於日常生活收集的海量資訊愈益有價值,政府有責任參考海外最佳私隱法規自我改進,防止市民不知就裏交出無必要的個人資訊。
本港正致力推動的生物醫學、金融科技,每每倚賴反映社會趨勢和特質的大數據,當中的個人資訊不時會經過匿名化處理,不再是傳統意義上的私隱。相關機構須採用哪級數的安全標準,會否有認證制度等,要通盤考慮。
就著網絡安全,現時屬於法定機構的私隱公署、生產力局,以及即將合併升格的政府資科辦,各擔起不同諮詢顧問角色。現有的私隱專員,與未來專責數字政府、數據治理的數字政策專員,需要清晰分工。
港府必須反思,今後應修例為私隱公署簡單擴權,還是像新加坡額外增設網絡安全局,以互補不足。當地成立不足9年的網安局將獲擴大權限,方便監管高風險關鍵設施如數據中心、擁敏感信息的機構,本港當前與大灣區的跨境數據互通、基建對接日,箇中權責和保障也要及早釐清。
樂本健【雙11感謝祭】雙重優惠、多買多賞► 了解詳情