走進車廂，電子錢包、交友程式的廣告鋪天蓋地，人人低頭沉醉於手機熒幕，享受着科技帶來的便利。數碼年代，人人一機在手，上網瀏覽資訊，流動支付、電召的士、外賣點餐等應用程式攻佔我們的手機。你曾否想過，應用程式及網絡供應商一直收集及得到多少用戶的個人資料？近年大數據、人工智能等技術崛起，為市民生活和企業營商帶來便利，同時引起對私隱保障的關注，如何在推動資訊開放與保障私隱之間作出平衡，成為重要的課題。 究竟網際網絡記錄（Internet Protocol Address，簡稱IP位址），是否個人資料的一部分？早於兩年前，有民間組織嘗試向本地電訊及網絡供應商索取個人帳戶資料，結果他們只願意提供基本資料及通話記錄。在五所電訊商中，只有兩所解釋IP位址僅是一串數字，無法識別個人身份，並以非個人資料為由而拒絕提供資料。活動發起人之一、香港中文大學新聞與傳播學院助理教授徐洛文反駁指，網絡供應商有能力連繫IP位址與用戶資料，不單可辨識身份，更可從IP位址追蹤及分析客戶的上網資料、行為及習慣。 有關個人私隱的討論，十年來從未間斷。隨着大數據時代來臨，個人資料的定義有所改變，除了姓名、身份證號碼，透過手機及應用程式收集的數據是否私隱？再從蒐集的數據以分析個人習慣和喜好，又是否稱得上侵犯私隱？如何釐定私隱界線，並非三言兩語能夠說清。「大家都知道資料是值錢的，拿去賣不緊要，但你要告訴用戶。可是，現在好多（機構）也不告訴你。」個人資料私隱專員黃繼兒說，現今世代的數據收集及運用，與十年，甚至五年前相比，已起了翻天覆地的變化。從搖籃到墳墓，每個人的個人資料只會與日遞增—姓名、指紋、身份證明文件、銀行戶口號碼，這些統統被視為基本私隱權，受到法律保障。 但踏入數碼年代，電腦、手機、便攜式裝置、社交平台和應用程式遭廣泛使用，面對網購、電子錢包、物聯網、人工智能、金融科技等科技浪潮，我們的日常生活變得與數據經濟密不可分。據政府統計處的調查結果顯示，2017年有約568.8萬名十歲及以上人士擁有智能手機，較前年多出超過20萬人；智能手機的滲透率亦由前年的85.8%升至2017年的88.6%，滲透率在全球數一數二。 便捷凌駕於私隱　低估外洩後患 往日大家只倚賴電腦上網，隨着智能手機普及，我們生活的種種數碼記錄及個人私隱，例如聯絡人資料及瀏覽記錄均儲存在智能手機等電子裝置，加上應用程式層出不窮，個人在線和離線資料都會被大量收集，但又難以預計相關數據會如何被使用，這令個人私隱專員公署保障資訊安全的工作面對前所未有的挑戰。「現在多了『E』（電子），如你的信貸數據、出入境過關、醫療記錄，還有人面辨識，凡是你留下的身份識別符號或樣貌，很多以前沒有的，現在加進來，這個乘數效應就會變多。」 香港互聯網註冊管理公司於2018年8月發表《流動電子支付：從顧客至商戶的電子轉型》調查，公司委託香港互聯網協會以網上問卷形式向年齡介乎18至65歲的市民進行訪問，成功收集逾1,200份問卷。調查結果顯示84%受訪者曾經使用流動支付，惟逾半受訪者顧慮網絡安全及個人私隱問題，擔心個人資料遭濫用。黃繼兒上任三年多，接受不少訪問，當中最令人印象深刻的是，他直言對電子錢包有所保留，甚至逆流而行，連網上銀行也從不沾手。公署上年度接獲1,619宗投訴，有關資訊及通訊科技的投訴為249宗，當中主要涉及對社交網絡和智能手機應用程式的投訴。他形容，二十年前沒什麼人關注私隱，十年前市民會留意，但對私隱概念不清晰，現在留意及清晰的人多了，但對個人私隱的關注與具體的自保行動仍有落差：「你看最近那些保安漏洞，人人都知道要保障，但怎樣保呢？口唇邊快要說出來，卻做不到。做不到不是因為不想做，而是不知道怎樣做。」港人如此頻密使用應用程式，個人資料自然有機會被收集、儲存及轉移，甚至「彙編」（profiling）後出售，亡羊補牢往往是港人保護私隱的寫照，出事後才人人自危，低估私隱外洩的後患。 黃繼兒表示，本港市民使用應用程式時，大部分使用者並無細讀私隱政策內容，草草將便捷凌駕於私隱，「私隱政策及收集個人資料聲明等條款，（文字）細得用戶不會看，安裝時也不得不按我同意、我接受（條款），否則連用也無法用。這種捆綁式同意根本沒有意義。」這不單反映用戶對保障個人私隱的意識偏低，而機構也缺乏尊重用戶私隱的意識。 消委會於2018年3月公布部分網約的士應用程式要求用戶開放手機權限，並收集不少個人資料，對私隱問題表示關注：如某一個應用程式會存取十種資料，包括讀取聯絡人資料，甚至閃光燈，相比另一程式只要求「存取GPS網絡位置」一項，反映相類功能的應用程式在索取個人資料上有很大差別，某些收集的數據或不必要或超乎適度。除智能電話外，不少可穿戴裝置如智能健身手帶及智能手錶，可收集及儲存個人資料，而且一些物聯網裝置會設有附加功能，收集額外資訊如追蹤用家位置，可能在用家未知悉或未授權的情況下，收集及分享個人資料，換來洩露私隱的風險。 黃繼兒慨嘆，港人缺乏保障意識，使用應用程式時警覺性不足，只屬冰山一角，更多時候是不少機構利用獎賞，引誘市民提供個人資料，藉此收集數據作策略性推廣或其他用途。不少港人經不起小恩小惠的考驗，將個人資料拱手相讓。「這些資料都是屬於個人，那些銀行、商業機構收集了便當成自己擁有，個人資料管治、擁有、處理的權力應放回個人手中。因為用戶才是擁有資料的人。」將個人私隱的主導權交回用戶這一點，促成歐洲改革私隱法。 歐盟新例救私隱　擴大保障範圍 2018年5月25日實施的歐盟《通用數據保障條例》（General Data Protection Regulation，簡稱GDPR），被喻為保護私隱的最強法例，大幅提升用戶掌控個人資料的權力。除了近日廣為港人熟悉的資料外洩強制通報外，GDPR規定所有涉及歐盟市場的企業必須徵得用戶同意，才可收集用戶資料，而收集該項個人資料是提供服務的先決條件。在新條例下，企業一旦被裁定違規，罰款金額達2,000萬歐元（約1.79億港元），或全球年營業額的4%。 GDPR為應對大數據浪潮，更擴大了個人數據保護範圍，當中包括了IP位址、電郵地址、cookie等直接數據，以及興趣、簡歷和位置數據等間接資料，並給予用戶使用個人資料的知情權、被遺忘權、可攜權等權利。新例適用於擁有歐盟市場業務的機構，而GDPR亦有豁免，當中包括250名員工以下的中小企。 大數據分析、人工智能等科技日漸被企業應用，以提升運作效益。這些現代化數據驅動的科技，徹底改變我們收集、處理和使用數據的想像。同時，個人資料保障屢受衝擊，如不知情下的「同意」、數據被秘密地收集、超乎預期的數據使用、敏感的個人資料被披露，以及在未經授權下從匿名的資料重新識別個人身份等，部分數據處理甚至引起道德問題，如演算法的歧視及偏見。蘋果行政總裁庫克（Tim Cook）也曾說：「我們自己的資訊，從日常習慣到私人喜好，已經如打仗般有效地轉換成武器來攻擊自己。」 面對危機四伏，於二十三年前制定的《個人資料（私隱）條例》（下稱《私隱條例》）卻以不變應萬變。在1996年實施的《私隱條例》是亞洲首套針對個人資料私隱的成文法，當中列明六項保障資料原則，借鑑國際標準從收集、儲存、保留、使用、查閱及更正等層面制定準則和懲處機制，使個人資料和資料使用者有規可循。據《私隱條例》，「個人資料」所指的是能直接或間接辨認在世者個人身份的資料，而且可讓人切實可行地查閱或處理，例如文件或錄影帶。私隱條例只要不涉及能對應個人身份的資料如姓名、身份證號碼等，其他個人資料未必屬私隱保護範圍之內，須視乎情況而定。 轉載新聞來源：香港01 （刊登日期：2/1/2019）