國際特赦組織香港分會製圖

電話智能卡實名登記制度(下稱︰「電話卡實名制」)9 月 1 日生效,政府多番指立法不會對包括私隱權在內的各項人權帶來侵害,並指現行的《個人資料(私隱)條例》(第 486 章)(下稱《私隱條例》)對個人私隱提供足夠保障,並強調推行「電話卡實名制」已充份平衡個人私隱和公眾安全的因素。

但畢竟香港的《私隱條例》已訂立逾四分一世紀,在高度數碼化的年代,《私隱條例》對個人私隱的保障是否依然足夠?本文將以「電話卡實名制」為例,從(一)個人數據儲存及管理的責任、(二)取得同意收集個人資料的規定、(三)「被遺忘權」和(四)檢取個人資料的制約和監察機制四方面,重新審視《私隱條例》是否如政府所言般足夠。 

香港的《私隱條例》已訂立逾四分一世紀,在高度數碼化的年代,《私隱條例》對個人私隱的保障是否依然足夠?

全球行動通訊系統協會(GSMA)指出,全球 59% 實施強制「電話卡實名制」的國家,有足夠的私隱或數據保護法,確保民眾私隱不受侵犯 [1]。而在香港,政府於「電話卡實名制」諮詢文件 3.9 段指,「個人資料的貯存及使用方式亦須遵照相關要求,包括…《私隱條例》)的資料保障原則」。然而,政府文件指有關規定,僅限於規管「營辦商/流動服務供應商」(下稱「持牌人」)處理個人資料;而對於政府執法部門要求持牌人提供電話卡用戶登記記錄的權限和程序等,諮詢文件並沒有援引《私隱條例》的任何條例或規範,也沒有列出任何現行的法律框架及監查機制,以確保整個過程符合「必要、相稱且合乎比例」原則,保障資料當事人的私隱權。 

《私隱條例》本身在保障個人資料及私隱方面,也與現時全球最新標準存在距離。於 1996 年 12 月生效的《私隱條例》,乃參考經濟合作及發展組織(OECD)1980 年的私隱指引,及已被取代的 1995 年《歐盟資料保護指令》;即使《私隱條例》於 2012 年作出修訂,相比於 2018 年 5 月生效的歐盟《通用數據保障條例》(General Data Protection Regulation,下稱 GDPR),資料保障的覆蓋度和全面性亦有所不足。 

《私隱條例》在保障個人資料及私隱方面,與現時全球最新標準存在距離。圖片來源:私隱資料專員公署

條例未制訂數據管理或處理者問責制 

「電話卡實名制」諮詢文件中,政府將數據儲存及管理的責任,全交由「持牌人」肩負。文件既建議「電話卡用戶的個人資料由持牌人保管及貯存,須建立相關系統或數據庫」,亦訂明了「資料的貯存及使用須遵照《私隱條例》的資料保障原則」,看似完善,事實上《私隱條例》雖有倡議一系列「最佳行事方式」(best practices)保障用戶私隱,卻無明確提供任何問責原則或相關的私隱管理措施;如遇資料外洩事故,也沒有強制規定通報,純屬自願性質,沒有具約束力的相關責任或規定時限。 

相比下,GDPR 對數據管理者(Data Controller)或處理者(Data Processor)賦予明確要求,包括有義務備存及維護資料處理記錄、進行資料保障影響評估、規定實施技術、制訂措施確保資料處理的安全性、委任數據保護官等;如遭遇導致個人資料被銷毀、喪失、改動、未經授權下被披露或被存取的數據外洩事故,必須於 72 小時內報告,不可無故延誤。因此,現時《私隱條例》針對數據管理者或處理者的規範尚有許多完善空間,更重要的是要實行透明有效的通報監查機制,以確保電訊營辦商為用戶的私隱及個人資料安全,提供更完善的保障。 

歐盟 GDPR 對數據管理者或處理者賦予明確要求,包括有義務備存及維護資料處理記錄、進行資料保障影響評估、規定實施技術、制訂措施確保資料處理的安全性、委任數據保護官等。圖片來源:gdpr.eu

收集個人資料不需事先同意 

在收集個人資料方面,《私隱條例》雖然有訂明資訊管理者在收集資料時,須告知資料當事人收集資料的目的、資料會否轉移至第三方、他有權要求查閱及要求改正自己的個人資料,但本身並無規定收集個人資料須先徵得某人的同意,因此如果資料當事人拒絕提供資料,可能會引致服務被拒。至於數據處理方面,《私隱條例》規定了必須徵得同意的情況,包括將個人數據用於新目的(即並非與原先收集目的直接相關)、或被用於或被轉移用於直接促銷目的。《私隱條例》也指出同意必須是「知情、自願及明示」,即不可以將「沒有行動」或「緘默」當成允許。

GDPR 在確保資料當事人就收集和使用數據表達同意的規定則更為進取,明確地指出「同意」應涵蓋所有目的之數據處理。此外,GDPR 規定同意的形式,須為「任何自由陳述、明確、知情和清晰表示資料當事人的意願」,例如以聲明或肯定的行動表明其意願,而且必須是就不同的個人資料的處理運作個別地給予同意,更需清楚表明拒絕或撤回同意不會引致服務被拒。

當然,無論本地亦或海外,「電話卡實名制」本身都已強制要求網絡營運商收集個人資料,否則無法使用電話卡服務。不過就處理數據獲得資料當事人同意方面,GDPR保障處理數據的涵蓋範圍比香港《私隱條例》更闊,在防範資料管理者利用收集的個人資料作其他用途方面亦較為全面。 

現行《私隱條例》未確立「被遺忘權」 

「被遺忘權」(right to be forgotten)容許個人在若干情況下,有權要求服務供應商移除有關自己的個人資訊或搜尋結果。在高度數碼化的年代提出「被遺忘權」,是因為大量個人資料通過互聯網進入公眾領域,並長時間甚至永久存放在網絡世界輕易被搜索出來。同時,個人的網絡足跡和歷史更會被用作行銷或其他用途。早在 2014 年,歐盟法院已在一項判決中表示,個人應該有「被遺忘的權利」,若以某人姓名進行搜尋,搜尋結果出現連向包含某人相關資訊的網頁,則資料主體(個人)可向營運商或者向主管要求刪除搜尋結果的連結。因此,法律透過行使「被遺忘權」,讓每個人自主控制個人資料的紀錄,阻止個人私隱繼續曝光。 

歐盟 GDPR 也有加強「資料當事人」對個人資料的自主控制權利,除了香港《私隱條例》也有的查閱權及更正權外,還包括「被遺忘權」,一旦撤回同意或終止使用服務後,除非特定情況,資料當事人有權要求數據管理者永久刪除其個人資料。此外,資料當事人也享有「限制處理資料權」、「 反對處理(包括個人概況彙編)權」 ,以及「反對自動化數碼分析處理權」,限制控管者之處理,拒絕使用其資料進行行銷用途、或進行科學、歷史研究及統計等目的,並避免其資料或網絡足跡用被作數碼分析,而得出其興趣及習慣等個人生活狀況。 

就資料當事人自主控制資料使用或刪除的權利,《私隱條例》雖然列出資料當事人可以提出數據讀取和更正請求(DPP6,第 5 部分),保障其查閱及更正的權利,也可以選擇拒絕或退出直銷(ss.35G&35L)用途,但仍然未有「可刪除權」,只規定資料不得保留超過所需的時間,而且所需時間的定義也不清晰。 

香港擬議中的「電話卡實名制」並沒有要求「持牌人」就個人資料的儲存時間設上限,諮詢文件只提及「持牌人」須保管和貯存用戶個人資料最少 12 個月,亦沒有規定個人資料於儲存期限之後如何處理;而因為現時《私隱條例》未有自主控制資料使用或刪除的權利,即使客戶不再使用該服務,網絡營辦商即使長時間儲存大量個人資料,當事人也無法要求移除過時及不必要的資料,或可能增加個人數據遭濫用和信息洩露的風險。

關鍵保障:制約及監察公權力檢取個人資料的機制

由上可見,香港《私隱條例》與歐盟 GDPR 比較,對個人資料的保障,尤其在於規範資料管理或處理者處理個人資料方面略遜一籌。不過,針對以維護國家安全或進行刑事罪行調查方面,即使歐洲的法令也未必受 GDPR 所約束。以「電話卡實名制」為例,歐洲人權法庭 2020 年 1 月裁定,德國政府 2004 年提出要求電訊公司收集及儲存包括預電話卡的資料,並無違反《歐洲人權公約》第 8 條所保障之「私人生活權」(right to private life) ,同時認為透過實名制保障公眾安全及他人權利和自由,乃屬合理目的,也認同「可能幫助有效執法及防止混亂或罪案」是民主社會所必須;加上政府只要求電訊公司收集用家的姓名及地址,而非其他通訊內容,不算嚴重干擾基本權利。 

如果用這個標準看,香港「電話卡實名制」的實施目的,及其收集的個人資料種類,除了身份證副本值得商榷之外,似乎也符合「合理及相應性」。那麼具體的憂慮在於哪裡?就是檢取個人資料的制約及監察機制缺乏公權力。 

香港實施「電話卡實名制」其中一項具體憂慮,是檢取個人資料的制約及監察機制缺乏公權力。圖片來源:Now 新聞 

歐洲法庭在上述判決中指出,德國當局在其《電子通訊條例》(Telecommunication Act)中,有清楚列出什麼機構可基於執法或國家安全要求索取資料,並明確指出政府機構須另外提出書面申請檢取資料。反觀香港,「電話卡實名制」可豁免執法部門在「嚴重罪行」下,毋須申請法庭手令即可要求電訊商提交登記個人資料;不過,何謂「嚴重罪行」,定義就欠清晰,令人憂慮缺乏對公權力取用個人資料的制約和規範。 

此外,政府雖表示現時沒有計劃擴闊索取電話卡登記者資料範圍,但卻未有排除日後可能收集更敏感資料,例如通訊記錄,甚至生物體徵如指紋、面部識別等的可能性。立法後進一步搜集更多個人資料的例子比比皆是,例如泰國、新加坡、中國等,均有在立法後延伸索取生物科技識別資料,例如必須以人臉辨識、指紋登記電話卡等。 

在歐洲,雖然 GDPR 明確禁止索取生物科技識別資料,但有關國家安全或治安的監控措施卻在其豁免範圍,那如何保障民眾的個人資料不被公權力以國家安全為由濫用呢?幸好歐盟尚有其他監察機制 — 例如歐盟最高法院於 2020 年 10 月裁定,禁止成員國的情報或警察機關大規模收集並存有公民通訊記錄;即使成員國因受國家安全威脅而需大規模收集人民通訊資料,也必須經過法院或獨立主管機關的審查許可,方能合法地收集額外敏感信息。換言之,即使有歐盟成員國以國家安全及反恐為由收集敏感個人資料,但也有具法律約束力的機制裁定其是否合理及必需。

香港「電話卡實名制」最大的隱憂,正正是缺乏機制約束執法機關及政府部門的權力,以及難以制約部門收集更敏感的個人資料,例如通訊記錄或生物特徵等。由此觀之,「電話卡實名制」的實施目標即使具有正當性,也無法抹去因為缺乏約束及制衡機制而引申的監控憂慮。

 

參考資料: 

[1] GSMA, Access To Mobile Services And Proof Of Identity 2020: The Undisputed Linkages, 2020, p.17 stated that ‘GSMA found only 59 per cent of countries mandating SIM registration have a Privacy and/or Data Protection framework in place.’

延伸閱讀: 

原刊於國際特赦組織香港分會網站