刊于《信报》,2025年3月31日
数据保护过严 恐损商业创新
许佳龙
科大商学院署理院长;信息、商业统计及营运学系讲座教授;艾礼文家族商学教授
笔者上篇文章讨论了欧盟和美国对待个人私隐数据保护的两种立法态度。欧盟的《通用数据保护条例》(General Data Protection Regulation ‧GDPR),一般视之为对私隐监管和治理的一剂「重药」;而美国则采取相对宽松态度,对于数据存储和使用,只要两方「同意」(Consent),即可按所定的合约条文进行,视之仿如一项商业交易。
香港的立法取态,采取中庸之道,以「中间落墨」方式进行立法,因此,《私隐条例》不像欧盟,既没有私隐与人权挂钩的严苛;但也没有像美国那样,主要交由「市场之手」来主导,流露浓郁的商业交易味道。举例来说,前文提及欧盟GDPR当中的「被遗忘权」(Right to be forgotten),网络的用户可有权要求网络平台,把本身曾发表过的数据纪录移除。
违反条例处以巨额罚款
此外,机构若违反GDPR法律条文,罚则非常严厉。根据GDPR,违反条例者可处以该机构前一个会计年度全球年营业额4%的巨额罚款,且GDPR具有域外效力,适用范围包含欧盟境外国家或地区,所以,全球企业对GDPR相关规定,不敢掉以轻心。
自GDPR于2018年5月 25日生效后, 2019年1月,法国的信息监管机关——国家信息自由委员会」(Commission Nationale de l'Informatique et des Libertés‧CNIL)发布新闻,指美国科技巨擘Google对用户数据处理缺乏透明度;向用户提供有关个人资料的搜集和利用,信息不充足;而且把个人资料用于个人化广告上缺乏有效性,以此为由,指Google违反GDPR规定,裁定罚款5,000万欧元。
2020年 3月,英国信息委员会办公室(Information Commissioner Office‧ICO)公布,对2018年香港国泰航空公司资料外泄案作出惩处,指2014年10月至2018年5月期间,国泰航空的计算机系统缺乏适当安全措施,遭黑客入侵,全球约940万人的个人资料遭泄露,其中逾11万人为英国人,因而对国泰处以50万英镑(约 500万港元)罚款。从上述两宗案例可窥见,美国的个人资料保护法例便没有欧盟那般严苛。
中间落墨的务实性
然则何以香港采取「中间落墨」的定位?笔者认为,此举是务实的,而且从中亦流露出私隐保障问题的「复杂性」。
很显然,若采用欧盟GDPR那样严密的立法,对个人资料的使用设下重重保护罩,几乎密不透风,有可能把企业透过个人资料数据作商业创新的一些机会扼杀了。因此,当我们讨论个人私隐条例,那些资料应否受到法例的保障,笔者认为并不适宜从单一化的角度来把握。若将之视为基本人权,不容侵犯,这样一来,不少公司的商业创新,若涉及个人资料的运用,其创新机会空间或会变得很有限。
以最近Chat GPT为例,当中人工智能(AI)的应用,透过大数据进行模型训练,必然牵涉到个人数据的运用,如采用网上个人信息纪录、个人自传等数据,当法例不允许采用这些网上流传的数据,甚或强制必须取得个人同意,方可采用,则大数据分析所要求海量数据(包括经验性的往昔/已身故的个人资料或传记等),如何训练这些AI模型,马上成为一个大问题。这无疑是私隐条例过于严密带来的弊端,当然,严密的法例保护,仿如铜墙铁壁般的防护罩,个人私隐确实能够得到彻底和全面性保障。
严密与宽松利与弊
从上文分析看到,美国个人想有效保护其个人资料,相对较为困难,不容易取得法律清晰明文的保障。事实上,美国至今仍没有全面的联邦数据私隐法,对于个人私隐资料保障倾向行业性,即各行各业有自身对个人私隐保障的做法,以及不同的保护力度。
在美国,除了几个主要公共性行业,包括医疗、金融和联邦政府等对公民个人信息的收集、采用和保护,有较强力的保护,但只限于这几个行业范畴,其他行业对于个人资料收集和使用的保障,容许大家可「自由发挥」,操作的自由度很高,因此我们看到,信息的应用和一些创新发展,往往发韧于美国,或在美国得到相对蓬勃的发展机会,其中一个原因,相信是受到法律制度的影响。
中间落墨 取态务实
因此,对于个人私隐数据的法例保护,香港采取「中间落墨」监管形式,取态务实,相信有助取得严苛和宽松两边各自的优点,减少严苛和宽松两边各自的缺点,使香港在通过使用个人资料作商业应用,能够取得一个平衡和健康的发展机会与空间。
从这个角度看,当我们讨论个人私隐保障问题,实在不适宜「一本通书看到老」,或单一化地视之为「人权」保障,以此来把握法例的制订,此举对社会未必是一件好事。当然,笔者没有科学证据,但某程度上,一些法律、文化和价值观的取态,往往间接影响这个地区的创新活动以至执行能力。