疫苗通行證|私隱專員撰文︰符合《私隱條例》規定 二維碼被加密

撰文:倪清江
出版:更新:

新冠病毒第五波疫情嚴峻,疫苗通行證在2月24日起實施,對於有人憂慮私隱問題,個人資料私隱專員鍾麗玲撰文指出,研究顯示,接種疫苗為戰勝疫情和降低傳播率的基石,不少地區如歐洲國家都有推出與疫苗通行證相類似的措施。

鍾麗玲指出,私隱權與眾多權利一樣,並非絕對的權利,疫情危機當前,在維護公眾利益的大前提下,必須作出取捨,私隱權與眾多權利一樣可在「絕對必要之限度內」受到限制,這項限制反映在《私隱條例》,個人資料私隱專員公署審視了疫苗通行證的設計和功能,符合《私隱條例》的相關規定。

她指疫苗通行證採取了貫徹私隱保障的設計,二維碼不會顯示任何個人資料,所有包含個人資料的記錄(包括來自疫苗接種紀錄的資料)均會經過遮蓋(masked)和雜湊(hashed)處理,成為不可辨識的資料儲存在處所負責人的流動裝置上,只有政府的授權人員才可通過加密管道查閱和進一步處理該等記錄。

▼2月24日 疫苗通行證首日青衣城商場及超市貼了大量安心出行供市民掃碼▼

+18

▼全文▼

疫苗通行證 – 團結一致 齊心抗疫

隨著傳播力極強的新型冠狀變種病毒 Omicron 肆虐全球,各國政府一直加緊努力應對疫情帶來的新挑戰。自 2022 年初,香港受到 Omicron 的衝擊。因應疫情嚴峻,香港政府採取新措施遏制病毒傳播。「疫苗通行證」計劃已於2月24日起實施,市民需至少接種一劑疫苗(或持有醫學豁免證明書),方可進入餐廳、商場和超級市場等指明處所。

研究顯示,接種疫苗為戰勝疫情和降低傳播率的基石。在過去一年多,世界各地政府已逐步推出或有具備接觸追蹤功能的「健康碼」、「疫苗通行證」、「新冠病毒健康護照」等措施,作為恢復跨境往來和日常活動的第一步。 在內地,雖然不同省份的做法各有不同,但民眾一般在進入大部分公眾處所前都必須展示或掃描分別載有與感染風險相關的個人資訊及個人旅遊史的「健康碼」及/或「行程碼」。歐盟亦推出了「電子新冠病毒證書」(Digital COVID Certificate)以促進歐盟國家之間的跨境旅遊。在法國,十六歲以上的人士必須出示疫苗通行證才能進入指定的公共處所和乘坐公共交通工具。同樣,新加坡的民眾在到訪高風險公共處所時,必須使用儲存在接觸者追蹤應用程式(TraceTogether)內的疫苗通行證,透過全國電子登記系統(SafeEntry)「打卡」,記錄民眾的到訪記錄,並用於接觸追蹤的工作上。

個人資料私隱專員鍾麗玲。

求取合理平衡

儘管疫苗通行證是統一展示及驗證民眾疫苗接種記錄的有效工具,亦有助公共衞生官員進行接觸者追蹤的工作,但鑑於通行證往往載有使用者的個人識別碼、新冠病毒疫苗接種紀錄或康復紀錄等個人資料,使用者對私隱和資料保安方面有所疑慮,是可以理解的。

眾所周知,在保障公共健康及保護個人私隱之間取得合理平衡的同時,私隱權與眾多權利一樣,並非絕對的權利。疫情危機當前,在維護公眾利益的大前提下,必須作出取捨。為了保護生命,為了保障公共健康,生存的權利有凌駕性。雖然私隱權受到《基本法》和《香港人權法案條例》(第 383 章)的保障,但如《香港人權法案條例》的第5條所述,在公共緊急情況下,私隱權與眾多權利一樣可在「絕對必要之限度內」受到限制。這項限制亦反映在《個人資料(私隱)條例》(第 486 章)(簡稱「《私隱條例》」)的條文之中。根據《私隱條例》第59條,如為了保障資料當事人或其他人的身體或精神健康而必須使用關乎資料當事人的健康、身份或所在地的個人資料,相關用途豁免於使用個人資料的限制。

▼2月24日 疫苗通行證首日 市民在荷里活廣場內掃安心出行▼

「疫苗通行證」

我和我的團隊審視了「疫苗通行證」的設計和功能。我想在這裡指出,「疫苗通行證」符合《私隱條例》的相關規定。 事實上,「疫苗通行證」採用了貫徹私隱保障的設計,而我們也留意到,「疫苗通行證」的相關應用程式亦有經過獨立第三方進行保安及私隱評估和審計。

為澄清大家的疑慮,我將在下文重點解釋「疫苗通行證」的幾項特點。

首先,「疫苗通行證」採取了貫徹私隱保障的設計。當訪客使用「安心出行」應用程式掃描場所的安心出行二維碼時,螢幕上只會展示載有疫苗接種紀錄或豁免證明書的二維碼,不會顯示任何個人資料。 而處所負責人使用「驗證二維碼掃瞄器」應用程式驗證訪客的「疫苗通行證」過程中也不會顯示任何個人資料。

其次,雖然處所會透過驗證訪客的「疫苗通行證」收集到訪紀錄,所有包含個人資料的記錄(包括來自疫苗接種紀錄的資料)均會經過遮蓋(masked)和雜湊(hashed)處理,成為不可辨識的資料儲存在處所負責人的流動裝置上。另外,這些資料會被加密,即使處所人員亦無法查閱。因此,實質上沒有任何屬《私隱條例》定義下的個人資料會被儲存在處所負責人的流動裝置上。

只有在不幸有確診病人曾到訪某處所的情況下,該處所的負責人才須按有關部門的要求將相關的到訪記錄上傳至政府的私有雲端。亦只有政府的授權人員才可通過加密管道查閱和進一步處理該等記錄,以進行接觸追蹤等的流行病學調查。由此可見,資料保安的風險已顯著降低。

最後,到訪記錄只會在處所負責人的「驗證二維碼掃瞄器」應用程式中暫存31天作防疫抗疫相關用途,而我們亦得悉有關紀錄在31天之後將會被自動刪除。

隨著單日確診人數屢創新高,為了保障公共健康,採取更強硬的防疫抗疫措施以遏止Omicron病毒的傳播和加強接觸者追蹤的工作無可厚非,亦屬合情合法合理。香港的「疫苗通行證」安排亦與內地和世界各地採取的相類似措施一致,並不違反《私隱條例》的任何規定。現時香港正面對前所未見的公共衞生危機,讓我們一同善用「疫苗通行證」,攜手戰勝疫情!