300萬香港Facebook用戶資料外洩 私隱公署卻束手無策
超過五億Facebook用戶個人資料遭外洩,當中近294萬來自香港。與以往案例的最大分別,是牽涉的資料齊全,包括不常變更的流動電話號碼,而且資料不需要專業技術也能取得。資料外洩無法挽回,民間和各地監察機構只能盡力減少其傷害,可惜,就香港而言,因着職權所限,港人難以寄望個人資料(私隱)專員公署能有力提供保障。
事件在本月3日(周六)被廣泛報道,但各地政府和監督機構均對近日的外洩事件可謂束手無策。這不是單指外洩已成定局,而是指外洩的資料庫早於2018和2019年已經出現,及至今年1月及近日分別放在自動程式和黑客論壇,取閱資料的方法愈來愈容易。不少資訊保安專家估計這批海量資料庫已經轉手多次,早已落入黑客和企業手上。
連GDPR也沒辦法
既然過失從Facebook產生,外界期望法規能令Facebook負上一定責任。然而,據愛爾蘭資料保障公署的新聞稿指出,近日外洩的資料,絕大部分在2017至2018年間被收集,早於歐盟《通用數據保障條例》(GDPR)生效之時。這意味着歐盟未必能循GDPR的罰款機制追究Facebook的責任。
再者,因為資料庫相當整全,除了名稱、位置和出生日期外,部分還有電話號碼和電郵地址,不法分子可輕易盜取他人身份,用於核證資料、冒充他人欺詐、滋擾他人和電話電郵促銷。當被譽為相當嚴厲的GDPR也對今次外洩愛莫能助,難以預期其他地方可以懲罰Facebook。
避免外洩資料遭濫用 私隱公署須擴權
在香港,私隱公署也迅速行動,先於4日(周日)已經聯絡Facebook在香港的辦事處,並已去信Facebook就事件展開循規調查,包括提醒對方盡快通知受影響用戶,以減低由此產生的風險,又鼓勵懷疑資料被洩的用戶向私隱公署查詢或投訴。另外,公署剛亦發布指引,具體建議市民減低使用社交媒體和即時通訊軟件的私隱風險。
然而,公署的舉措不足令外界放心。這不是公署失職,而是公署的權力過小,而且對濫用個人資料者的阻礙力有限,對公署難有期望。這見諸於公署不能強制企業通報個人資料外洩事件,亦缺乏刑事調查權及施予行政罰款等措施的執法權。
政府年初表示會修例把「起底」行為刑事化,以及賦予專員在「起底」範疇內刑事調查和檢控權力,並爭取於暑假前提交議會審議。坊間有意見擔憂刑事化會打擊合法的偵查採訪、揭露真相,但現時「起底」亂象未止,人人自危,只要法例有適當豁免,相信能平衡私隱和公眾知情權。至於賦予公署域外執法權以防止海外網絡平台儲存個人資料,私隱公署稱未能趕及立法會會期前完成修例,望政府切勿耽擱,盡快把之完成。
相較之下,針對今次Facebook個人資料外洩事件,誠然強制通報制度的效用有限,但這不表示機制在日後措施無用。有了機制,日後機構定當加緊管理用戶個人資料,萬一資料不幸外洩,用戶亦能在短時間被知會,而公署亦可按規例罰款,懲處機構。歐盟、美國和澳洲等政府已要求企業強制通報個人資料外洩。
在香港,自2018年國泰航空多番拖拉後才公布約940萬位乘客資料外洩後,坊間已要求加入強制通報制度,可惜後來不了了之。Facebook案例再次證明政府不可怠慢,而且還要加入兩項重要條件在機制內,一是把機制覆蓋在港經營業務或在香港收集和持有個人資料的機構,二是延伸機構通報範圍至與機構相當程度相關的個人資料,即使該等資料不是直接由機構外洩。
社交媒體掌握海量個人資料,稍一不慎容易爆發私隱災難。香港需要強而有力的私隱公署,才可令企業戒慎恐懼,小心管理個人資料,阻止數據外洩和被濫用。