【大數據.三】電子產品易洩個人資料 資訊開放與私隱如何平衡?
走進車廂,電子錢包、交友程式的廣告鋪天蓋地,人人低頭沉醉於手機熒幕,享受着科技帶來的便利。數碼年代,人人一機在手,上網瀏覽資訊,流動支付、電召的士、外賣點餐等應用程式攻佔我們的手機。你曾否想過,應用程式及網絡供應商一直收集及得到多少用戶的個人資料?近年大數據、人工智能等技術崛起,為市民生活和企業營商帶來便利,同時引起對私隱保障的關注,如何在推動資訊開放與保障私隱之間作出平衡,成為重要的課題。此乃《誰搬走了我的數據?》系列專題報道之三
究竟網際網絡記錄(Internet Protocol Address,簡稱IP位址),是否個人資料的一部分?早於兩年前,有民間組織嘗試向本地電訊及網絡供應商索取個人帳戶資料,結果他們只願意提供基本資料及通話記錄。在五所電訊商中,只有兩所解釋IP位址僅是一串數字,無法識別個人身份,並以非個人資料為由而拒絕提供資料。活動發起人之一、香港中文大學新聞與傳播學院助理教授徐洛文反駁指,網絡供應商有能力連繫IP位址與用戶資料,不單可辨識身份,更可從IP位址追蹤及分析客戶的上網資料、行為及習慣。
有關個人私隱的討論,十年來從未間斷。隨着大數據時代來臨,個人資料的定義有所改變,除了姓名、身份證號碼,透過手機及應用程式收集的數據是否私隱?再從蒐集的數據以分析個人習慣和喜好,又是否稱得上侵犯私隱?如何釐定私隱界線,並非三言兩語能夠說清。「大家都知道資料是值錢的,拿去賣不緊要,但你要告訴用戶。可是,現在好多(機構)也不告訴你。」個人資料私隱專員黃繼兒說,現今世代的數據收集及運用,與十年,甚至五年前相比,已起了翻天覆地的變化。從搖籃到墳墓,每個人的個人資料只會與日遞增—姓名、指紋、身份證明文件、銀行戶口號碼,這些統統被視為基本私隱權,受到法律保障。
但踏入數碼年代,電腦、手機、便攜式裝置、社交平台和應用程式遭廣泛使用,面對網購、電子錢包、物聯網、人工智能、金融科技等科技浪潮,我們的日常生活變得與數據經濟密不可分。據政府統計處的調查結果顯示,2017年有約568.8萬名十歲及以上人士擁有智能手機,較前年多出超過20萬人;智能手機的滲透率亦由前年的85.8%升至2017年的88.6%,滲透率在全球數一數二。
便捷凌駕於私隱 低估外洩後患
往日大家只倚賴電腦上網,隨着智能手機普及,我們生活的種種數碼記錄及個人私隱,例如聯絡人資料及瀏覽記錄均儲存在智能手機等電子裝置,加上應用程式層出不窮,個人在線和離線資料都會被大量收集,但又難以預計相關數據會如何被使用,這令個人私隱專員公署保障資訊安全的工作面對前所未有的挑戰。「現在多了『E』(電子),如你的信貸數據、出入境過關、醫療記錄,還有人面辨識,凡是你留下的身份識別符號或樣貌,很多以前沒有的,現在加進來,這個乘數效應就會變多。」
香港互聯網註冊管理公司於2018年8月發表《流動電子支付:從顧客至商戶的電子轉型》調查,公司委託香港互聯網協會以網上問卷形式向年齡介乎18至65歲的市民進行訪問,成功收集逾1,200份問卷。調查結果顯示84%受訪者曾經使用流動支付,惟逾半受訪者顧慮網絡安全及個人私隱問題,擔心個人資料遭濫用。黃繼兒上任三年多,接受不少訪問,當中最令人印象深刻的是,他直言對電子錢包有所保留,甚至逆流而行,連網上銀行也從不沾手。公署上年度接獲1,619宗投訴,有關資訊及通訊科技的投訴為249宗,當中主要涉及對社交網絡和智能手機應用程式的投訴。他形容,二十年前沒什麼人關注私隱,十年前市民會留意,但對私隱概念不清晰,現在留意及清晰的人多了,但對個人私隱的關注與具體的自保行動仍有落差:「你看最近那些保安漏洞,人人都知道要保障,但怎樣保呢?口唇邊快要說出來,卻做不到。做不到不是因為不想做,而是不知道怎樣做。」港人如此頻密使用應用程式,個人資料自然有機會被收集、儲存及轉移,甚至「彙編」(profiling)後出售,亡羊補牢往往是港人保護私隱的寫照,出事後才人人自危,低估私隱外洩的後患。
黃繼兒表示,本港市民使用應用程式時,大部分使用者並無細讀私隱政策內容,草草將便捷凌駕於私隱,「私隱政策及收集個人資料聲明等條款,(文字)細得用戶不會看,安裝時也不得不按我同意、我接受(條款),否則連用也無法用。這種捆綁式同意根本沒有意義。」這不單反映用戶對保障個人私隱的意識偏低,而機構也缺乏尊重用戶私隱的意識。
消委會於2018年3月公布部分網約的士應用程式要求用戶開放手機權限,並收集不少個人資料,對私隱問題表示關注:如某一個應用程式會存取十種資料,包括讀取聯絡人資料,甚至閃光燈,相比另一程式只要求「存取GPS網絡位置」一項,反映相類功能的應用程式在索取個人資料上有很大差別,某些收集的數據或不必要或超乎適度。除智能電話外,不少可穿戴裝置如智能健身手帶及智能手錶,可收集及儲存個人資料,而且一些物聯網裝置會設有附加功能,收集額外資訊如追蹤用家位置,可能在用家未知悉或未授權的情況下,收集及分享個人資料,換來洩露私隱的風險。
黃繼兒慨嘆,港人缺乏保障意識,使用應用程式時警覺性不足,只屬冰山一角,更多時候是不少機構利用獎賞,引誘市民提供個人資料,藉此收集數據作策略性推廣或其他用途。不少港人經不起小恩小惠的考驗,將個人資料拱手相讓。「這些資料都是屬於個人,那些銀行、商業機構收集了便當成自己擁有,個人資料管治、擁有、處理的權力應放回個人手中。因為用戶才是擁有資料的人。」將個人私隱的主導權交回用戶這一點,促成歐洲改革私隱法。
歐盟新例救私隱 擴大保障範圍
2018年5月25日實施的歐盟《通用數據保障條例》(General Data Protection Regulation,簡稱GDPR),被喻為保護私隱的最強法例,大幅提升用戶掌控個人資料的權力。除了近日廣為港人熟悉的資料外洩強制通報外,GDPR規定所有涉及歐盟市場的企業必須徵得用戶同意,才可收集用戶資料,而收集該項個人資料是提供服務的先決條件。在新條例下,企業一旦被裁定違規,罰款金額達2,000萬歐元(約1.79億港元),或全球年營業額的4%。
GDPR為應對大數據浪潮,更擴大了個人數據保護範圍,當中包括了IP位址、電郵地址、cookie等直接數據,以及興趣、簡歷和位置數據等間接資料,並給予用戶使用個人資料的知情權、被遺忘權、可攜權等權利。新例適用於擁有歐盟市場業務的機構,而GDPR亦有豁免,當中包括250名員工以下的中小企。
大數據分析、人工智能等科技日漸被企業應用,以提升運作效益。這些現代化數據驅動的科技,徹底改變我們收集、處理和使用數據的想像。同時,個人資料保障屢受衝擊,如不知情下的「同意」、數據被秘密地收集、超乎預期的數據使用、敏感的個人資料被披露,以及在未經授權下從匿名的資料重新識別個人身份等,部分數據處理甚至引起道德問題,如演算法的歧視及偏見。蘋果行政總裁庫克(Tim Cook)也曾說:「我們自己的資訊,從日常習慣到私人喜好,已經如打仗般有效地轉換成武器來攻擊自己。」
面對危機四伏,於二十三年前制定的《個人資料(私隱)條例》(下稱《私隱條例》)卻以不變應萬變。在1996年實施的《私隱條例》是亞洲首套針對個人資料私隱的成文法,當中列明六項保障資料原則,借鑑國際標準從收集、儲存、保留、使用、查閱及更正等層面制定準則和懲處機制,使個人資料和資料使用者有規可循。據《私隱條例》,「個人資料」所指的是能直接或間接辨認在世者個人身份的資料,而且可讓人切實可行地查閱或處理,例如文件或錄影帶。私隱條例只要不涉及能對應個人身份的資料如姓名、身份證號碼等,其他個人資料未必屬私隱保護範圍之內,須視乎情況而定。
上文刊載於第144期《香港01》周報(2018年12月31日)《誰搬走了我的數據?》專題中的《營造「數據道德」氛圍 保個人資料 》。
其他《誰搬走了我的數據?》專題報道文章:【大數據.一】人工智能一定更客觀? 學習不全面或致誤判及偏見【大數據.二】企業賺錢基於用戶數據 學者倡數據產權保大眾權利
瀏覽更多周報文章︰【01周報專頁】《香港01》周報各大書報攤及便利店有售。你亦可按此訂閱周報,閱讀更多深度報道。
相關文章:【大數據】用大數據重新定義人 當經濟窮省遇上高科技【大數據】貴州數據鐵籠管人管事 大數據非收集私隱?【大數據】數字化時代爭議四起 社會惡果有待分解【科技.未來】多國收集國民DNA 大數據與個資權利可否共存?