刊於《信報》,2025年3月24日
私隱保護取態 歐盟美國兩個極端
許佳龍
科大商學院署理院長;資訊、商業統計及營運學系講座教授;艾禮文家族商學教授
在當前網絡詐騙無孔不入情況下,全面了解私隱問題,從中領悟保護之道,實在相當重要。筆者於本欄前兩篇文闡述了私隱的概念,以及香港法例 486章《個人資料(私隱)條例》(下簡稱《條例》)訂明的資料保障六項原則,當中原則1及原則 3廣泛牽涉到公眾日常生活。第 1原則列明必須以合法與公平方式收集個人資料;第3原則規範如何使用個人資料,這兩項原則不再在本文贅述。
其餘四項原則,在全球各國或地區有關個私隱資料保障方面,只要有立法或相關指引,一般都會觸及這四個維度,包括(一),資訊保安,即任何機構採用了個人有關資料,必須採取適當措施,去確保資料安全(《條例》第4原則);(二),有關資料存儲的年期和確保準確性(《條例》第2原則,規定機構保存個人資料必須準確,資料的保留期間不可過長,也不能超過實際需要),關於這一點,也許讀者亦留意到,過去幾年,有機構(包括財金機構)遭私隱專員公署警告,指保留客戶的資料時間過長——可以想像,這些資料多涉及不良信貸紀錄,但按照個人私隱資料保障的立法原意和精神,若不良紀錄所涉的行為是在很久前發生,而這個紀錄對於客戶目前的行為,再沒有指引作用,則不應該再繼續過長時間地保留這些資料。
資料必須正確無訛
(三),資料的可提供性(第 5原則:「資訊須在一般情況下可提供」,規定當事機構須確保用戶能夠知道機構所制訂的個人資料私隱政策);(四),機構有責任去保証資料的準確性,並且在一般情況下,可供個人查閱(第 6原則),如發現個人資料不準確,有權要求改正。其出發點是保証用戶不會因個人資料的訛誤,而受到不公平對待。很顯然,資料的正確性和嚴謹性,無可避免影響到當事機構如何應用客戶的資料,因而有必要確保資料的正確無訛。可以說,全球各國或地區有私隱保障指引的,都涉及到前文和本文所述的這六個維度。
但全球各國或地區有關個人私隱保障的指引,還是有一些「細微」分別的,這些「細微」分別往往反射出不同文化之間的「價值觀」,見微而知著,或許可以從中給我們啟迪,去全面認識和理解私隱資料保障的深層面貎和意義。
歐盟保護私隱下「重藥」
以歐盟的《通用資料保護條例》(General Data Protection Regulation ‧GDPR)為例,該條例於2018年5月 25日生效,取代原來處理個人資料流通及保障的歐盟指令95/46/EC(歐盟指令)。一般認為,GDPR是歐盟用來保障和監管個人資訊的「重藥」,這劑「重藥」除了涉及新的規定和加強個人權利外,還明確規定在非歐盟法域管轄區內成立的機構,在特定情況下,必須遵從《通用數據保障條例》的規範。
可以看到,《通用資料保護條例》若干條文內容中,香港《私隱條例》並沒有相關的法例規定。據香港私隱專員公署官方網站的資料透露,在草擬《私隱條例》時,曾參考經濟合作及發展組織(OCED)1980年的私隱指引及歐盟指令。但由於《通用數據保障條例》帶來了重大發展及改變,因此,GDPR這個新監管框架內若干資料保障的內容,香港《私隱條例》未有包括。
視私隱保護為人權
換言之,GDPR若干法例對資料所作出的保障,在香港沒有受到「保護」。譬如,「被遺忘權」(Right to be forgotten)。誠然,「被遺忘權」是人權的概念,即人們有權要求當事機構刪除其相關過時或負面性的個人身份資訊。在《通用資料保護條例》下,用戶有權要求相關網絡平台,刪去其過往曾發表的紀錄。甚或報章曾報導過某人的一些信息,其人即有權要求該報章,刪除這些報導信息任何一部分的紀錄。這種個人資料的權利保障,在香港並沒有得到法律保護。
何以如此?無疑牽涉到地區文化差異和價值取向。一直以來,歐洲人對私隱視為一種徹底的個人權益,以及體現個人自由的重要組成部分。所以,對於個人私隱,包括前文聚焦談及的三個維度——個人隱密、個人生活空間不受騷擾、免於經常受「監視」,對歐洲人來說,在他們觀念中,均為基本人權,不容絲毫侵犯,必須得到保障。因此,我們與歐洲人打交道,往往需要明白,立法給這種權利的保護,並非單純法律保障那麼簡單,而是深深植根於他們的思想觀念裡,認為人類有此天然權利和自由。
美國私隱保障視如商業交易
在香港,顯然沒有這方面的法例保護。何以有此取態?未進一步闡釋前,不妨看看另一個相對「極端」例子——美國對個人資料保護的法律和觀念取態。
美國對私隱資料的法律保護取態,沒有像歐盟那樣有明確的人權保障,並不認為私隱是人權。在美國的私隱資料保障制度下,傾向從產業利益出發,對個人數據持積極利用取態,只要對方同意,在你情我願情況下,對數據保護的法律規定較為寬松。換言之,在雙方「同意」(Consent)下,就可以進行數據的存儲和使用。可以說,在美國,對於私隱傾向視為一種商業交易,只要有清晰的合約闡明如何收集和使用即可,操作自由度很高,以「市場之手」為主導、以行業自律為主要手段。迄今,美國仍沒有全面的聯邦數據私隱法,執法主要由聯邦貿易委員會(Federal Trade Commission ‧FTC)以及聯邦通信委員會(Federal Communications Commission‧FCC)負責。
誠然,在已發展經濟體中,歐盟和美國對個人資料保障是兩種「逈異 」的立場,甚或可以說是兩個相對極端的取態。然而,香港的立法態度「取乎其中」,當中其深層次的意義,囿於篇幅,另文討論。