國際特赦組織香港分會製圖

手機及流動網絡已成為生活在大都市的我們不可或缺的必需品;除了用來和親友聯繫、瀏覽社交平台、新聞網站和短片、玩遊戲之外,還會用來處理財務和使用定位功能搜尋餐廳、交通等。現時,本港流動網絡服務用戶數目超過 2,270 萬戶,普及率(用戶與人口比例)高達 289%,即平均每名港人擁有不少於兩個流通網絡帳戶。

不過,當大家的生活日漸依賴流動網絡,我們對提供流動網絡的電訊商的私隱政策,又了解幾多?在日常使用流動網絡服務的時候,你是否知道你所選用的電訊商有否同時收集你的位置、瀏覽記錄等資料?在使用流動網絡服務前,你又有否詳細參閱電訊商的私隱政策,並同意授權電訊商蒐集有關你的個人資料? 

做個精明消費者,在選購流動網絡服務時,除比較不同供應商的收費價格和服務質素外,更需要主動了解其收集和處理個人資料的目的、方法和程序,以確保已被收集的個人資料不被濫用。本文將分析有關個人私隱的基本原則,並提供一些保障私隱貼士供大家參考。 

選購流動網絡服務時,需要主動了解其收集和處理個人資料的目的、方法和程序,確保已被收集的個人資料不被濫用。(圖片來源:barnimages.com)

收集和處理個人資料須符合合法性、必要性和合乎比例三大原則  

香港作為聯合國《公民權利和政治權利國際公約》(下稱︰《公約》)適用地區之一,香港人的私隱權受《公約》第 17 條所保障:「任何人之私生活、家庭、住宅或通信,不得無理或非法侵擾……對於此種侵擾或破壞,人人有受法律保護之權利」。同時,在提交予聯合國人權事務高級專員辦事處的「數碼時代的隱私權」報告中強調,限制私隱權的措施必需符合合法性、必要性和合乎比例三大原則,就私隱權勾勒出清晰的人權保障框架。 

合法性對讀者來說,可能比較容易理解,不過何謂必要性和合乎比例呢?國際間對個人資料處理的必要和合乎比例亦制訂了一系列標準。例如歐洲理事會(Council of Europe)所訂定的國際性公約《關於個人資料自動化處理的個人保護公約》(Convention for the Protection of Individuals with regard to the Processing of Personal Data,下稱︰《第 108+ 公約》)是全球第一部就保障個人資料而訂立並具法律約束力的國際公約,至今已獲歐洲理事會所有成員國簽訂,並接受全球八個非成員國加入。

根據《第 108+ 公約》第四條規定,個人資料的處理應當:「(a) 以公正和透明的方式處理;(b) 根據明確、指定和合法的目的獲取,並且不得以這些目的以外的原因處理…;(c) 根據指定的目的,恰當和不過度地存取相關資料…」。

限制人民數碼私隱權的措施,必需符合合法性、必要性和合乎比例三大原則。

至於世界經濟合作暨發展組織「隱私保障以及個人資料跨國傳輸指引」(OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)亦對成員國在收集個人資料時的必要性和合乎比例提出建議,其中第八條指出︰「個人資料應與其指定的使用目的相關,並且在這些指定目的所必要的範圍內,維持個人資料的準確、完整和更新。」

換言之,就收集個人資料而言,必要性和合乎比例代表資料收集方必須根據合法和事先明確指定的目的收集個人資料,收集的資料應與所使用目的相關,不應過量收集及存取個人資料。 

再套用於實際生活的場景讓大家更掌握些概念:根據上述準則,電訊商有責任根據其必要性將收集個人資料的範圍減至最小,以保障用戶的私隱權。以流動網絡服務為例,服務供應商收集和處理個人資料的目的,應以「維持提供有效的網絡服務」為原則,其收集個人資料的範圍應局限於 (a) 核實個人身份(身份證明資料)、(b) 計算帳單和結餘所需資料(通話時數和數據用量)以及 (c) 付款資料(信用卡或銀行戶口資料、郵寄月結單地址/電郵)。 

以其他目的收集和處理超越以上範疇的個人資料,均有可能已超出了「維持提供有效的網絡服務」的必要性。同時,電訊商亦有責任向用戶闡述收集各項個人資料的收集方法、目的和用途,例如記錄用戶的數據用量將用於計算帳單和啟動公平原則等。《第 108+ 公約》第八條亦規定資料處理人必需向資料提供人闡述︰「…(b) 處理個人資料的法律基礎和目的;(c) 處理個人資料的類別等…」以確保資料處理的透明度。 

歐洲理事會 Council of Europe 訂定《關於個人資料自動化處理的個人保護公約》,簡稱《第 108+ 公約》,是為了保障個人資料而訂立並具法律約束力的國際公約。(圖片來源: Ellen Wuibaux © Council of Europe)

了解電訊商的私隱政策 評估與比較各電訊商的個人資料保障措施

以上國際公約和指引明確地指出處理個人資料必需乎合使用目的的必要性。如前述,任何超出「維持提供有效的網絡服務」所需的個人資料均不應被列入收集和處理之列。因此,消費者在選擇流動網絡供應商時,應事先詳盡了解各電訊商的私隱政策,以掌握不同電訊商收集和處理個人資料的目的,並查詢收集這些個人資料的必要性。

例如,一些電訊商會以眾多非「維持提供有效的網絡服務」的目的收集大量個人資料,當中比較普遍的包括「提供優惠、產品或服務」、「進行直銷活動」、「開發理財服務及產品」等與流動網絡服務無關,或聲稱「進行研究或分析」、「改善服務質素」等定義廣泛且含糊的原因,明顯已有違收集個人資料作為提供服務的必要性原則。

而本港電訊商向用戶所收集的個人資料範圍亦非常廣泛,例如多家電訊商會收集和處理包括教育程度、職業狀況、薪金水平、興趣嗜好、家庭和家居統計等個人生活習慣資料;而個別電訊商亦在其私隱政策中列明會收集如位置資料、生物辨證、互聯網搜尋歷史和瀏覽歷史等敏感資料,已超出「維持提供有效的網絡服務」所需的合理比例。

本港電訊商向用戶所收集的個人資料範圍非常廣泛。(圖片來源:網絡)

然而,一些電訊商卻未能在私隱政策中闡述各項收集個人資料的方法和目的。例如有本地電訊商在其私隱政策中表示會記錄用戶的位置資料,卻沒有解釋收集這些個人資料的方法和目的,無疑會令人憂慮電訊商是否已掌握用戶的行蹤、收集位置資料的目的和用途。 

我們可以參考德國 Telekom 公司,以了解一些電訊商處理個人私隱的較佳做法,首先在其私隱政策中詳細闡釋收集位置資料的方法,列明該公司只會以用戶所使用的訊號收發站位置來判斷用戶的所在區域,公司將不會追蹤用戶的詳細位置;而德國 Telekom 亦有交代收集的目的和其他用途,表示該類型資料在用戶手機與訊號收發站建立流動網絡連結時將必然被記錄,除了用作計算帳單之外(如用戶離開合約指定位置(如某城市或州份)使用流動服務時,將會被收取額外費用),德國 Telekom 亦會以匿名和匯總數據的形式,將位置資料披露予例如公共交通等公共服務供應商,用作評估不同區域的人流以作出服務改善。

德國 Telekom 電訊公司的個人資料收集政策,值得本地電訊商參考。(圖片來源: Jonathan Kemper @ Unsplash)

同時,電訊商亦有責任根據其必要性將收集個人資料的範圍減至最少,並在其私隱政策中,完整地披露有否收集或如何收集涉及使用流動網絡的四大個人資料範疇︰(a) 個人聯絡/核實身份/付款資料、(b) 撥打電話記錄、(c) 數據記錄和 (d) 位置資料,讓用戶知悉其通話、網上瀏覽記錄和內容以及位置資料是否已被電訊商收集,並掌握足夠資訊評估與比較各電訊商的個人資料保障措施。

例如德國電訊商 Telekom 及 Eir 表明不會記錄用戶的互聯網瀏覽記錄,它只會記錄用戶的數據用量來計算帳單費用。而瑞士電訊商 Swisscom15 則表明不會記錄用戶的通話、短訊、聊天和電郵內容。如電訊商未能在其私隱政策中完整地披露上述資料,消費者可向各大電訊商的在其私隱政策內所列出的個人資料保障主任查詢,或主動要求退出或拒絕繼續提供非「維持提供有效的網絡服務」所需的個人資料。 

在與電訊商簽訂流動網絡合約時,應事先詳盡了解各電訊商的私隱政策。(圖片來源:
Scott Graham @ Unsplash)

主動向電訊商查詢 確保個人資料不被濫用 

在電話卡實名制於 9 月 1 日刊憲下,流動網絡用戶若意欲加強關注其個人私隱,不妨嘗試主動多走一步:第一步就是向電訊商了解其私隱和個人資料收集的政策,作為評估個人有多少個人資料已被電訊商收集,並籌劃相應的網絡安全措拖以保障個人資料不被濫用。作為消費者,我們可以: 

  1. 參閱電訊商的私隱政策,了解電訊商有否或如何收集涉及使用流動網絡的四大個人資料範疇︰(a) 個人聯絡/核實身份/付款資料、(b) 撥電記錄、(c) 數據記錄和 (d) 位置資料; 
  2. 如電訊商未能在其私隱政策中完整地披露上述 1(a) 至 (d) 項資料,消費者應主動向電訊商查詢;
  3. 向電訊商查詢並了解各項個人資料收集的目的和用途;
  4. 向電訊商查閱該公司已收集和正在處理多少有關你的個人資料;
  5. 如有需要,消費者可向電訊商主動要求拒絕分享、停止處理或刪除已收集的個人資料,或撤回過往所作出的同意;
  6. 主動聯絡電訊商在其私隱政策內所列出的個人資料保障主任,以了解相關私隱政策不明確的地方或作有關查詢。 
電話卡實名制 9 月 1 日刊憲,流動網絡用戶不妨嘗試主動多走一步:並籌劃相應的網絡安全措拖以保障個人資料不被濫用。

 

原刊於國際特赦組織香港分會網站