私隱法例須檢討
私隱法例須檢討
上周筆者就個人資料私隱專員公署對電郵服務提供者雅虎被指披露電郵用戶個人資料、即師濤案件的調查的裁定,提出了一些關注的地方,尤其是IP(互聯網規約)地址是否屬於個人資料的問題。專員在即日已經就筆者評論透過報館作出書面回應,雖然內容大抵是重申報告的一些觀點,但回覆是積極面對批評和願意溝通的表示,值得肯定,這在政府部門之中並不多見,筆者要先讚一讚。
周四筆者再與另一位非常關注個人私隱的朋友、香港大學 社會科學研究中心的白景崇教授一同造訪公署,與專員吳斌等就案件本身、至到闊點看IP地址是否個人資料、個人資料的定義等問題,坦率地分享了個多小時。這次討論有助我們理解裁決背景,但筆者和白教授仍對這些問題有很多擔憂和疑慮的地方,筆者在這裏再詳細和大家談談。
報告引述師濤案件的判決書指出,雅虎向國安局提供的資料是:「關於用戶資料的證明材料,證實IP地址:218.76.8.201,時間:2004年4月20日23時32分17秒的對應用戶資料如下:用戶電話:0731-4376362,湖南《當代商報》社。地址:長沙市開福區建湘新村88棟2樓。」注意,其實雅虎提供或只作證實(在判詞中不明顯)的資料是IP地址加時間,國安局才根據該組資料從長沙的互聯網服務供應商找出以上的用戶電話地址,而巧合地這是個商業而非個人或家庭用戶。
所以,公署報告指「不能肯定地下結論謂有關用戶資料從表面看是屬於一個在世的個人,而不是法團或非法團的團體,又或者是關於一個真實的個人,而不是虛構的個人」,故此,沒有足夠證據證明這已符合香港法律定義下個人資料的條件。即是,若以上資料在當局調查中只把執法者引領到一個地點或機構,當局再用什麼手法鎖定某人,這不令以上資料構成個人資料。
關鍵連結
筆者承認也同意,以上觀點在本案件中是可以接納的,但當我們將來在處理任何一件為確認個人身份提供「關鍵連結」(critical linkage)的資料時,要怎樣才足夠地在條例定義中成立為「間接地確定有關的個人身份」?令確定身份範圍大為收窄是否也算合乎「間接」定義?是否要提供資料才算,證實資料是否也算是等同於提供資料?
報告也提到:「專員曾向資深大律師求證及徵詢意見,資深大律師完全同意單是IP地址並不屬於『個人資料』,但若與例如個人的辨識資料結合一起時,『個人資料』是可以包含IP地址的。」但筆者認為,公署從一開始就不應把IP地址單獨談論,因為誰都知道IP地址不結合一個時間為組合時,是沒有確認用戶的可能的,所以,在這種情況下講及IP地址時,差不多可假設是指IP地址加時間的組合資料。
電郵用戶不是死物
這組合資料在一家電郵服務商提供服務的環境下,應該不是「只分發給死物的電腦的」,因為像雅虎這類電郵服務商,其用戶服務的條款及其內容(例如用戶必須年滿十八歲才可瀏覽部分包括成人內容),明顯是假設該服務商是要求一個個人接納的,而非以一部電腦、一家公司或一個團體為對象;即使服務商並不知道這個人是誰,但服務商掌握的資料,配合第三者如互聯網服務供應商的資料,便差不多能肯定個人身份。很多知識產權及電腦犯罪案件在合法執法情況下也是以這些資料調查及令個人入罪。
筆者至今只集中關注IP地址等怎樣才屬於個人資料這問題,尚未探討境外管轄權等其他問題。
專員在向筆者的書面回應及會面中強調,其角色「是一名監管者,正所謂有法所依,在執行職責時,必須按照法例的條文來下判斷」,筆者也很理解,但以上指出的一些疑問,不知道是否屬於一些現行法例下的灰色地帶?還是法例對個人資料所下的定義,與一般市民對那些能「直接或間接地確定有關的個人的身份是切實可行」的資料的理解和期望,存在鴻溝?
市民期望私隱條例能有效保障個人私隱,現實卻沒有能力或興趣深入研究法律中技術上什麼是個人資料,什麼不是?
所以,公署、民政事務局及立法會都有必要加快進行私隱法例的檢討及公開諮詢。 刊載於《信報財經新聞》2007年3月26日
-->
0 Comments:
Post a Comment
<< Home