【Facebook.觀點】道歉不能平息事件 因時制宜修法、引企業問責
英國大型數據公司「劍橋分析」(Cambridge Analytica)上月被揭發於2016年在未經授權下,收集Facebook用戶的個人資料,涉嫌操控美國總統大選。Facebook創辦人兼行政總裁朱克伯格(Mark Zuckerberg)於美國時間周二(10日)到參議院司法及商業委員會出席有關事件的聽證會。朱克伯格除了再度道歉外,就未有具體提出更嚴格立法方案,反而認為過多的規條會使美國落後於其他國家。然而,事實並非如是,有效的監管能使企業更謹慎地使用用戶數據,更能保障用戶的私隱,香港的配行法例也須跟上國際步伐。
「劍橋分析」收集了超過8,700萬名Facebook用戶的個人資料,據數據顯示,有7000萬受影響用戶位於美國,其餘分佈於菲律賓、印尼、英國等地區,但實際受影響用戶的數量仍難以確認。其後,Facebook 宣布任何在Facebook上刊登的政治廣告都需經過身份審查,以及周一(9日)起會陸續通知8700萬名用戶。同日,美國國會對外公開朱克伯格所提交的證詞,他承認公司預防措施不足,沒有從宏觀角度去檢視公司作為社交媒體要背上的責任,以致有人利用其平台收集數據,為事件道歉。
Facebook須肩負責任 保障用戶權益
不過朱克伯格在聽證會上,除了多次強調用戶有權選擇是否分享自己的資訊外,並提出沒有其他「補救措施」或新的承諾。諷刺的是,有美國基金經理稱讚朱克伯格的陳述很「成功」,因其後Facebook股價一度飆升5.09%,最高見165.98美元,收市升4.5%至165.04美元,是兩年來最大的單日升幅。
朱克伯格的答辯無疑對Facebook股價注入一支強心針,但卻漠視了用戶權益。他多次重申用戶有權控制個人資料,但亦坦言,不少用戶沒有詳細閱讀完整服務條款。縱使沒有詳細閱讀完整服務條款,而導致個人資料流向第三方,是用戶的責任,但也不代表Facebook能置身事外,Facebook有責任確保第三方取得數據的目的,也要重新思考是否容許第三方取得數據、如何杜絕第三方在未經授權下取得數據等爭議。可惜,朱克伯格未曾在聽證會回應這一系列問題,也未確保將來如何保障用戶資料,不再流向第三方。
再者,Facebook營運總監(COO)桑德伯格(Sheryl Sandberg)上星期接受 NBC 訪問時表示,如果不想個人資料被利用,被社交媒體公司向外銷售,現在可通過設定做到,但將來或會須要付費。然而,保障用戶個人私隱本就是Facebook的責任,由於Facebook會出售用戶資料為商業用途,從中賺取盈利,因此Facebook須知道買家的目的和數據的用途,從而避免買家不當運用資料。但顯然,Facebook還未汲取教訓,本末倒置,將責任加諸用戶身上。
歐盟數據法將推出 香港須跟上步伐
既然社交媒體保護用戶私隱不力,政府是否須要介入、立法規管企業如何使用數據呢?朱克伯格說,願意接受適度的監管,但認為過多的規條會使美國落後於其他國家。不過,事實未必如是,監管不等於妨礙科技發現、拖累國家進步。
在1973年,瑞典通過全球首個個人信息保障法律《瑞典數據法》;1977年德國制定了全國性的《聯邦數據保護法》;1984年英國在爭議中通過了《英國數據保護法》等等,縱觀以上幾個歐洲國家在過去二、三十年在科技發展領域也「混」得不錯,連香港在1995年落實了《個人資訊(私隱)條例》,也未見監管資訊流通所帶來的明顯弊病或導致科技發展裹足不前的狀況。當中,德國的《聯邦數據保護法》更提到「數據保護須與科技發展同步進行」(英文原文:Data protection has developed in tandem with advances in electronic information technology…),數據法也被視為保障人權的其中一項政策。可見,立法監管企業使用數據與妨礙科技進步沒有必然的關係,反會令社會更進步。
事實上,歐盟早於1995年歐盟發出過《個人資料保護指引》,時隔22年歐盟終在去年通過《通用數據保障條例》,將於5月生效。在過去20年中,個人私隱的戰場悄悄地轉移到網絡平台,法律條文也必須因時制宜,修訂上幾個年代推出的法例。反觀香港情況,香港與歐盟同年(1995年)通過首條保障私隱條例,迄今仍未有因網絡生態而修訂條例,規管互聯網企業(或一般企業)如何運用和收集市民的個人資料。
歐盟的《通用數據保障條例》將在今年5月生效,條例的主要規管範疇包括「通知及同意」、「問責」、「罰則」及「域外效力」,嚴重違例者會被判最高2千萬歐元或企業全球營業額的4%作行政罰款。
私隱專員黃繼兒早前曾指出,香港企業在私隱範疇所犯的錯誤,主要是將資料收藏得不夠好。即是意味着,企業或會輕易洩漏客戶資料,原因是網絡安全意識不足。黃繼兒表示,會考慮將《通用數據保障條例》中的「問責」概念納入香港現有的條例(香港現時只有《個人資料私隱與互聯網 –資料使用者指引》,並沒有法律效用)。若洩漏了客戶資料,企業高層責無旁貸,有必要將責任提高至企業高層,向管理層問責,重視客戶的個人私隱。
由於私隱專員公署的職責只限於向違例者發出「執行通知」,並沒有執法權,也沒有權力向徵收企業罰款,因此有關制定數據法的事宜須交回通訊局或創科局討論。但時至今天,相關部門仍未有就開放數據、企業管理數據等有關互聯網數據運用作公開諮詢和討論,遑論展開立法程序。既然政府內部已有聲音,認為香港也需要「數據法」,相關部門理應正視同僚的意見,認真看待。也許Facebook洩密事件對香港用戶影響不大,但網絡私隱的問題還須正視,政府現行的法律亦須跟上網絡發展而修訂、更新。