香港乏私隱保護 恐步大陸後塵
2019年7月11日

走出車站,支付寶、微信支付的廣告,一幅幅鋪天蓋地;行出大街,ofo小黃車,一排排蔚然成風。近年,內地科企巨擘積極攻港,以方便之名,陸續將通訊工具、支付系統、共享單車移植到港人手機,獲取大量用戶數據。不過,個人資料被變換成數據真的無後顧之憂?內地「信用系統」最近備受關注,大部分港人隔岸觀火,但老大哥隨時在身後了。

撰文:許創彥 本刊特約記者

高鐵在爭議聲中通車了,「共同家園」又跨進一大步。香港逐步納入國家規劃,早於8 月中,中科院兩家研究院便率先宣布將落戶香港科學園;港府亦趁熱打鐵,馬上回禮研究如何駁通兩地電子支付。

兩地科技融合快馬加鞭;另一邊廂,中國再「走前一步」,建立起龐大的信用系統──外媒形容為「黑鏡」的技術實體化,小說《1984》情節即將活現眼前。

一河之隔,大部分香港人自我感覺良好,以為本地有私隱條例。曾擔任Google 亞太區言論自由部門負責人的徐洛文告訴本刊,這條所謂防線,其實脆弱不堪。他指出,香港個人資料條例落後,有些更拖了逾20 年仍未立法,內地政府有能力拿走港人數據。

你的名字

來一條常識題:究竟瀏覽紀錄,算不算個人私隱?很多人肯定會不假思索點頭;但香港各大電訊商卻唱反調,告訴大家:「不是。」兩年前,徐洛文就曾發起一個名為「誰手可得」的運動,着市民向電訊商拿回自己的瀏覽紀錄。700 人響應,但結果,芸芸電訊商,只有兩家作書面回應,說這不是個人私隱。

「原來唔夠快,世界係會唔同晒。」某電訊商經典對白,意外嘲諷了香港《個人資料(私隱)條例》(下稱《私隱條例》)。法例訂於1996年,當時互聯網方興未艾,人們以56K 電話線上網、Nokia「香蕉電話」聊天;但時至今日,物換星移,光纖秒速接通世界,iPhone進化至第十一代,唯獨法例依然佛系,用了22年仍堅持不變應萬變。

「不變」是指私隱範圍。香港對「個人資料」的定義列明,凡直接或間接辨認到個人身份,均屬個人資料,「所以電訊商只要證明,手持資料並非個人資料,便沒有犯法」。

儘管條例清晰,惟熟知私隱法的徐洛文氣結:「電訊商總有能力將IP地址,辯稱為『不是個人資料』。」他舉例三組資料:約60歲、住大角咀、近日曾致電醫院。無名無姓、無電話、無地址,電訊商會大條道理說「不算私隱」。此答法彷彿時光倒流20 年。當年單憑這幾項資料,確實難以識別身份;今日,此等「解碼遊戲」,莫說電訊商,對銀行、連鎖店、流動支付商來說,皆小菜一碟。

「運動App、交友App,甚至一個雪櫃都是數據。」凡走過必留痕,從此以後,只需集齊這堆數據,要推測出一個人,雖不中,必不遠矣,所以徐大惑不解,電訊商豈會不知用戶身份,「有人還會search自己,身份不言自明吧」。

數據有價

更甚是你的名字、他的銀紙。21 世紀,大數據是新石油,但凡不觸犯法例,用戶資料全部是錢。試想像,一看乘車紀錄,便可知悉用戶在哪區居住和上班;再看消費清單,更能窺探出性別、年齡和喜好。公司一旦「分享」其客戶數據給其他企業,馬上豬籠入水。是的,他們確實沒「出賣」姓名、身份證號碼、住址及生日日期等,「不過已足夠鎖定特定群組推廣」。

你現在後悔,想保護私隱?對不起,你沒此選項。「安裝App 時都會收集定位、接駁耳機等,但通常沒人有耐性詳細閱讀,而且多數都要你同意,不同意就裝不到。」

至少有權問清楚他們與誰「共享」吧?對不起,這些機會亦不屬於香港人的。「在其他國家,法例會保障用戶知情權,可要求企業清楚解釋,如何使用自己的資料;反觀香港,卻沒這條條例,即使你走去問,公司都能含糊其詞為『商業用途』,甚至不告訴你。」

「你當然可向私隱專員投訴,但最後都是由法庭定奪。」他無奈表示:「小市民跟市值上百億公司打官司?點鬥?」即使僥幸,大衛戰勝歌利亞,侵犯私隱罪成,法庭也傾向從輕發落。2015 年,香港寬頻違規直銷,僅罰款3萬。

三岔口

回想當年,香港成立《私隱條例》,其中原因是為了跟歐盟經商。二十年來,歐盟與時並進,近月更雷厲風行新的《一般資料保護規範》(General Data Protection Regulation),明言瀏覽紀錄屬個人資料,企業不遵從將重罰全年營業額4%。至於香港?不思進取。

在商言商,香港若要續當國際商業中心,更新私隱條例勢在必行。眼前有三條路:歐盟式、美國式、中國式。徐洛文解釋,一個當私隱為人權,一個當為消費者權益,一個不當一回事。

「千萬不要跟中國模式。」徐批評:「因為它不單『欠佳』,而係『好差』!」他並非危言聳聽,徐昔日仍擔任Google 亞太區言論自由部負責人時,總部曾派他到中國,「每次都要給我新電話和電腦」。他神色凝重:「中國政府可無故拿走電話、電腦,尤其在邊境。即使物歸原主,也不知道他們做過什麼。」

貴為私隱法專家,徐洛文固然深明「國情」;但現在連印度朋友,實際也被中國此一惡名昭彰的「私隱殺手」嚇怕。「小米自己都開始想,若你不是中國人,會不會買小米手機?很多都未必會。所以小米做了兩個版本,一個國際版,數據全存放於新加坡,另一個則在國內。可笑是,小米作為大陸公司,竟然視大陸民眾為二等公民。」

十面埋伏

「中國模式」嚇怕外資,香港卻不懂畏懼。近月,大批內地科企南下插旗,兩地融合勢在必行。港府倒屣而迎,左一句「智慧城市」,右一句「粵港澳大灣區」,2年前更準備把政府部門資料存放於「阿里雲」── 該集團早有前科,與中國政府分享資料。事件引起民間反彈,政府才向公眾釋疑。

「理論上,中國私隱管理做不好,港府可設立條例,不轉讓香港的個人資料去大陸。」《私隱條例》第33 條便列明,除事主批准外,機構一律嚴禁轉移客戶資料到外地,但問題是事隔逾20 年,該條文仍未生效。港府現在夠膽構築「金鐘罩」了嗎?徐洛文悲觀認為:「不會了。」皆因立法會曾追問立法進度,政府卻以落實條文「需要多方面的準備」解釋,並指待準備就緒,才考慮訂定生效日期。

如是者,儘管有公司如「中國移動」在私隱條款語焉不詳道「We reserve the right to share your data with authorities」;甚至再誇張點,假如有中資直接將數據呈交「北大人」,港府也束手無策。

徐洛文慨嘆:「九十年代,互聯網令人期待,是因為每個人都受惠。」只可惜中國政府已建立起「僅政府和企業受惠」的網絡霸權,跟互聯網初心背道而馳,所以港人也不要指望有險可守,皆因面對「網軍」如狼似虎,私隱條例不過無牙老虎,若然「老大哥」他日苛索資料,還得肉隨砧板上。(實習記者張以立對本文有貢獻)

——取自2018年11月第500期《信報財經月刊》