刊於《信報》,2025年3月31日
資料保護過嚴 恐損商業創新
許佳龍
科大商學院署理院長;資訊、商業統計及營運學系講座教授;艾禮文家族商學教授
筆者上篇文章討論了歐盟和美國對待個人私隱資料保護的兩種立法態度。歐盟的《通用資料保護條例》(General Data Protection Regulation ‧GDPR),一般視之為對私隱監管和治理的一劑「重藥」;而美國則採取相對寬鬆態度,對於資料存儲和使用,只要兩方「同意」(Consent),即可按所定的合約條文進行,視之仿如一項商業交易。
香港的立法取態,採取中庸之道,以「中間落墨」方式進行立法,因此,《私隱條例》不像歐盟,既沒有私隱與人權掛鈎的嚴苛;但也沒有像美國那樣,主要交由「市場之手」來主導,流露濃郁的商業交易味道。舉例來說,前文提及歐盟GDPR當中的「被遺忘權」(Right to be forgotten),網絡的用戶可有權要求網絡平台,把本身曾發表過的資料紀錄移除。
違反條例處以巨額罰款
此外,機構若違反GDPR法律條文,罰則非常嚴厲。根據GDPR,違反條例者可處以該機構前一個會計年度全球年營業額4%的巨額罰款,且GDPR具有域外效力,適用範圍包含歐盟境外國家或地區,所以,全球企業對GDPR相關規定,不敢掉以輕心。
自GDPR於2018年5月 25日生效後, 2019年1月,法國的資訊監管機關——國家資訊自由委員會」(Commission Nationale de l'Informatique et des Libertés‧CNIL)發布新聞,指美國科技巨擘Google對用戶資料處理缺乏透明度;向用戶提供有關個人資料的蒐集和利用,資訊不充足;而且把個人資料用於個人化廣告上缺乏有效性,以此為由,指Google違反GDPR規定,裁定罰款5,000萬歐元。
2020年 3月,英國資訊委員會辦公室(Information Commissioner Office‧ICO)公布,對2018年香港國泰航空公司資料外洩案作出懲處,指2014年10月至2018年5月期間,國泰航空的電腦系統缺乏適當安全措施,遭黑客入侵,全球約940萬人的個人資料遭洩露,其中逾11萬人為英國人,因而對國泰處以50萬英鎊(約 500萬港元)罰款。從上述兩宗案例可窺見,美國的個人資料保護法例便沒有歐盟那般嚴苛。
中間落墨的務實性
然則何以香港採取「中間落墨」的定位?筆者認為,此舉是務實的,而且從中亦流露出私隱保障問題的「複雜性」。
很顯然,若採用歐盟GDPR那樣嚴密的立法,對個人資料的使用設下重重保護罩,幾乎密不透風,有可能把企業透過個人資料數據作商業創新的一些機會扼殺了。因此,當我們討論個人私隱條例,那些資料應否受到法例的保障,筆者認為並不適宜從單一化的角度來把握。若將之視為基本人權,不容侵犯,這樣一來,不少公司的商業創新,若涉及個人資料的運用,其創新機會空間或會變得很有限。
以最近Chat GPT為例,當中人工智能(AI)的應用,透過大數據進行模型訓練,必然牽涉到個人數據的運用,如採用網上個人信息紀錄、個人自傳等資料,當法例不允許採用這些網上流傳的資料,甚或強制必須取得個人同意,方可採用,則大數據分析所要求海量資料(包括經驗性的往昔/已身故的個人資料或傳記等),如何訓練這些AI模型,馬上成為一個大問題。這無疑是私隱條例過於嚴密帶來的弊端,當然,嚴密的法例保護,仿如銅牆鐵壁般的防護罩,個人私隱確實能夠得到徹底和全面性保障。
嚴密與寬鬆利與弊
從上文分析看到,美國個人想有效保護其個人資料,相對較為困難,不容易取得法律清晰明文的保障。事實上,美國至今仍沒有全面的聯邦數據私隱法,對於個人私隱資料保障傾向行業性,即各行各業有自身對個人私隱保障的做法,以及不同的保護力度。
在美國,除了幾個主要公共性行業,包括醫療、金融和聯邦政府等對公民個人資訊的收集、採用和保護,有較強力的保護,但只限於這幾個行業範疇,其他行業對於個人資料收集和使用的保障,容許大家可「自由發揮」,操作的自由度很高,因此我們看到,資訊的應用和一些創新發展,往往發韌於美國,或在美國得到相對蓬勃的發展機會,其中一個原因,相信是受到法律制度的影響。
中間落墨 取態務實
因此,對於個人私隱資料的法例保護,香港採取「中間落墨」監管形式,取態務實,相信有助取得嚴苛和寬鬆兩邊各自的優點,減少嚴苛和寬鬆兩邊各自的缺點,使香港在通過使用個人資料作商業應用,能夠取得一個平衡和健康的發展機會與空間。
從這個角度看,當我們討論個人私隱保障問題,實在不適宜「一本通書看到老」,或單一化地視之為「人權」保障,以此來把握法例的制訂,此舉對社會未必是一件好事。當然,筆者沒有科學証據,但某程度上,一些法律、文化和價值觀的取態,往往間接影響這個地區的創新活動以至執行能力。