拉倒智慧燈柱 無解私隱憂慮
8月24日觀塘遊行的示威者鋸斷智慧燈柱,用行動表達對政府監控的憂慮。但任誰也明白,拉倒燈柱只是象徵姿態,社會上的監視仍然無處不在,包括商舖以至個人流動裝置的監視功能。監視裝置本身有其作用,例如預防和打擊罪案,並不能因而抹殺;在21世紀要放棄智慧科技,亦不切實際。關鍵在於如何改革保障私隱的法例,加強個人資料私隱公署的權力,防止政府和商界濫用數據。
在觀塘遊行前,創新及科技局已多番澄清燈柱沒有人臉辨識功能,其他影像監測功能的解像度亦被調低,惟反對者就是聽不入耳。在拉倒具有象徵意義的燈柱一刻,社會容易忘記了監察裝置並非問題核心,政府也不是唯一收集資料的單位;問題核心是個人資料被收集後會否被濫用,對象還包括企業和公共機構。
科技企業劣績斑斑
企業濫用個人資料的例子可謂罄竹難書,除了Facebook去年被揭發,透過顧問公司「劍橋分析」擅自超過8,700萬個用戶資料,針對地投放政治廣告外,蘋果公司近日亦承認,其智能電話的Siri用戶錄音會被公司分析,有侵犯私隱之嫌。
縱然憤怒,但我們會好像拉倒智慧燈柱那樣,砸破電腦、電話嗎?顯然不會,聲討企業更為有效。例如美國國會和輿論抨擊Facebook後,其向政府賠償折合390億港元,並陸續容許用戶自行清除第三方網站和應用程式上的數據,取回個人資料的控制權。
私人企業也多次濫用和泄漏個人資料,但社會為甚麼對政府的戒心明顯較大?這不無歷史原因,冷戰期間縱然科技尚未發達如今,蘇聯、東歐等政府已無所不用其極監控人民,《一九八四》的監控憂慮自然在科技成熟的當代社會發酵,害怕政府限制人身自由。另一個原因是社會錯以為企業收集個人資料,極其量只為改變用戶消費和社交習慣,而且消費者有替代選擇。
但這種想法有其盲點。科技巨企的財力及影響人數堪比國家,不可小看。市民生活離不開巨企,連政府也會為獲取情報而向企業索取用戶資料。根據《香港資訊公開報告2018》,在2011至2017年,港府每年平均向包括Google、雅虎、微軟、蘋果、Facebook、Twitter等資訊科技公司索取用戶資料4,470次,當中以警務處佔最多,而在2016及2017年,部分政府部門在向企業索取用戶資料時皆未取得法庭批出的手令。報告批評港府沒有如南韓、澳洲、台灣和英國等地方,在網站找到獲取其個人資料的指引或工作守則,亦無主動定期公開獲取資料的次數。
資料匿名化後亦可被重塑
目前不少市民的個人資料已經流出市面,當作商品交易。不少機構為了研究或者其他用途,在除去可以立即分辨身份的資訊後(例如姓名、地址、電話、相片),保留或買賣數據,而且不觸犯私隱法例。香港現行條例對通訊自由和保護可謂落後時勢。
更重要的是,將資料匿名化其實不足以保障私隱。倫敦帝國學院和比利時天主教魯汶大學的三位學者七月曾發表論文,運用五個數據源的210個數據集,拼合年齡、性別、婚姻狀況等15項人口特徵,復原高達99.98%數據集裏的美國人身份。
公署缺執法力 難保私隱
不少外地政府已經意識到問題,透過法律保障私隱。以人臉辨識為例,三藩市成為美國首個禁用人臉辨識技術的城市;英國地方政府透過閉路電視監察群眾,今年5月有人入稟控告卡迪夫政府違反1998年人權法案,預計年底前有判決;適用歐盟《一般資料保護規範》(GDPR)的瑞典,當地數據保護局日前裁定一間中學在沒有進行影響評估和諮詢當局下,利用人臉辨識系統點名,做法違例。
香港政府雖然在6月時曾表示未有部門採購、開發或使用具備自動化人臉辨識的閉路電視系統,而面容等生物辨識資料亦受《個人資料(私隱)條例》相關條文規管,但現實是市民往往不夠牙力挑戰政府和企業收集資料的決定,寄望私隱專員公署為民發聲,而公署沒有足夠權力,例如違反保障資料原則並不直接構成刑事罪行,沒有刑事調查權,亦沒有拘捕及罰款的權力。私隱專員黃繼兒也曾直言無牙老虎需要「補牙」,可想而知,企業以至政府部門有多忌諱公署?
數碼社會的私隱問題既出現於政府,亦出現於公共機構和私人企業。隨着愈來愈多個人資料透過流動裝置和互聯網被收集,其被轉售的機會愈大;資料一旦外泄,無數真實身份或會曝光。故此,香港的法規須跟得上時代步伐,嚴謹把關。在規管機構和企業——尤其是科技企業——方面,政府須防止過度收集資料,並協助使用者取回控制個人資料的權力。同時,政府必須自我約束,平衡維護公眾安全和私隱兩大需要,不能偏廢任何一方。例如,執法部門須公開獲取通訊事宜的守則,定期公開數字。政府亦須擴大私隱專員公署的調查及執法權力,令公營私營機構真正受到規管,行事要有規有矩,逐步挽回官民信任。