School in Media Faculty Insights in Media

私隐保护取态  欧盟美国两个极端

作者
许佳龙

刊于《信报》,2025年3月24日

私隐保护取态 欧盟美国两个极端

许佳龙

科大商学院署理院长;信息、商业统计及营运学系讲座教授;艾礼文家族商学教授

在当前网络诈骗无孔不入情况下,全面了解私隐问题,从中领悟保护之道,实在相当重要。笔者于本栏前两篇文阐述了私隐的概念,以及香港法例 486章《个人资料(私隐)条例》(下简称《条例》)订明的资料保障六项原则,当中原则1及原则 3广泛牵涉到公众日常生活。第 1原则列明必须以合法与公平方式收集个人资料;第3原则规范如何使用个人资料,这两项原则不再在本文赘述。

其余四项原则,在全球各国或地区有关个私隐资料保障方面,只要有立法或相关指引,一般都会触及这四个维度,包括(一),信息保安,即任何机构采用了个人有关数据,必须采取适当措施,去确保数据安全(《条例》第4原则);(二),有关资料存储的年期和确保准确性(《条例》第2原则,规定机构保存个人资料必须准确,数据的保留期间不可过长,也不能超过实际需要),关于这一点,也许读者亦留意到,过去几年,有机构(包括财金机构)遭私隐专员公署警告,指保留客户的数据时间过长——可以想象,这些数据多涉及不良信贷纪录,但按照个人私隐资料保障的立法原意和精神,若不良纪录所涉的行为是在很久前发生,而这个纪录对于客户目前的行为,再没有指引作用,则不应该再继续过长时间地保留这些数据。

数据必须正确无讹

(三),数据的可提供性(第 5原则:「信息须在一般情况下可提供」,规定当事机构须确保用户能够知道机构所制订的个人资料私隐政策);(四),机构有责任去保证数据的准确性,并且在一般情况下,可供个人查阅(第 6原则),如发现个人资料不准确,有权要求改正。其出发点是保证用户不会因个人资料的讹误,而受到不公平对待。很显然,数据的正确性和严谨性,无可避免影响到当事机构如何应用客户的数据,因而有必要确保数据的正确无讹。可以说,全球各国或地区有私隐保障指引的,都涉及到前文和本文所述的这六个维度。

但全球各国或地区有关个人私隐保障的指引,还是有一些「细微」分别的,这些「细微」分别往往反射出不同文化之间的「价值观」,见微而知着,或许可以从中给我们启迪,去全面认识和理解私隐数据保障的深层面貎和意义。

欧盟保护私隐下「重药」

以欧盟的《通用数据保护条例》(General Data Protection Regulation ‧GDPR)为例,该条例于2018年5月 25日生效,取代原来处理个人资料流通及保障的欧盟指令95/46/EC(欧盟指令)。一般认为,GDPR是欧盟用来保障和监管个人信息的「重药」,这剂「重药」除了涉及新的规定和加强个人权利外,还明确规定在非欧盟法域管辖区内成立的机构,在特定情况下,必须遵从《通用数据保障条例》的规范。

可以看到,《通用数据保护条例》若干条文内容中,香港《私隐条例》并没有相关的法例规定。据香港私隐专员公署官方网站的资料透露,在草拟《私隐条例》时,曾参考经济合作及发展组织(OCED)1980年的私隐指引及欧盟指令。但由于《通用数据保障条例》带来了重大发展及改变,因此,GDPR这个新监管框架内若干资料保障的内容,香港《私隐条例》未有包括。

视私隐保护为人权

换言之,GDPR若干法例对资料所作出的保障,在香港没有受到「保护」。譬如,「被遗忘权」(Right to be forgotten)。诚然,「被遗忘权」是人权的概念,即人们有权要求当事机构删除其相关过时或负面性的个人身份信息。在《通用数据保护条例》下,用户有权要求相关网络平台,删去其过往曾发表的纪录。甚或报章曾报导过某人的一些信息,其人即有权要求该报章,删除这些报导信息任何一部分的纪录。这种个人资料的权利保障,在香港并没有得到法律保护。

何以如此?无疑牵涉到地区文化差异和价值取向。一直以来,欧洲人对私隐视为一种彻底的个人权益,以及体现个人自由的重要组成部分。所以,对于个人私隐,包括前文聚焦谈及的三个维度——个人隐密、个人生活空间不受骚扰、免于经常受「监视」,对欧洲人来说,在他们观念中,均为基本人权,不容丝毫侵犯,必须得到保障。因此,我们与欧洲人打交道,往往需要明白,立法给这种权利的保护,并非单纯法律保障那么简单,而是深深植根于他们的思想观念里,认为人类有此天然权利和自由。

美国私隐保障视如商业交易

在香港,显然没有这方面的法例保护。何以有此取态?未进一步阐释前,不妨看看另一个相对「极端」例子——美国对个人资料保护的法律和观念取态。

美国对私隐资料的法律保护取态,没有像欧盟那样有明确的人权保障,并不认为私隐是人权。在美国的私隐资料保障制度下,倾向从产业利益出发,对个人数据持积极利用取态,只要对方同意,在你情我愿情况下,对数据保护的法律规定较为宽松。换言之,在双方「同意」(Consent)下,就可以进行数据的存储和使用。可以说,在美国,对于私隐倾向视为一种商业交易,只要有清晰的合约阐明如何收集和使用即可,操作自由度很高,以「市场之手」为主导、以行业自律为主要手段。迄今,美国仍没有全面的联邦数据私隐法,执法主要由联邦贸易委员会(Federal Trade Commission ‧FTC)以及联邦通信委员会(Federal Communications Commission‧FCC)负责。

诚然,在已发展经济体中,欧盟和美国对个人资料保障是两种「逈异 」的立场,甚或可以说是两个相对极端的取态。然而,香港的立法态度「取乎其中」,当中其深层次的意义,囿于篇幅,另文讨论。

Read Article