打開電子郵箱,看到一封被過濾到「垃圾郵箱」的電郵,內容為該航空公司有機會洩漏了我的私隱,所涉個人資料包括我的姓名、地址等,他們亦已通知「有關當局」及香港警察。天呀!我付款乘坐他們的航空公司,並不是要為我增添麻煩,付款買難受,而翻看新聞報道,原來近一千萬名乘客的個人資料被外洩,這不知道是「不幸」還是「遺憾」了。
洩漏客戶隱私導致損失個案,陸續有來,另一個電子錢包系統也遇到洩漏客戶資料,以致客戶蒙受損失的事件;一名補選候選人亦擬未有有效保障捐款者的資料,令他們的私隱在公共空間被披露。科技發達,但如果太依賴大數據的電子存檔,如遇駭客有計劃的入侵,私隱被盜和被不法取用的情況可謂防不勝防。
更遺憾的,「有關當局」仿如無牙老虎,現時,負責保障私隱的公共機構為個人資料私隱專員公署,但原來現行法例跟不上科技發展,未有規定設立強制的通報機制,令公署工作顯得被動,甚至後知後覺;而公眾都很希望知道調查進展和受影響程度,但往往可被一句「公署正循規調查事件,不能披露調查內容」等官腔打發,是保障公眾還是窒礙受影響人士的知情權,又令事件衍生枝節。
私隱等同一個人的特徵,包括個人基本資料、生物特徵、收入、喜好或消費模式等,不能亦不可輕易被公諸於世,否則如同在「赤身露體」於人前,既然在收集客戶的個人資料時,須要簽署聲明,這一聲明便是一個有效的法律文件和承諾,而這些權利義務是雙向的,違者須被追究法律責任,不能只是一個道歉或不了了之。
事件或只是冰山一角,既然「有關當局」也只是一個「存檔備案」的單位,而涉事公司亦未能評估私隱被盜將對受影響客戶帶來多大的損失,或何時才有損失,甚至不知道自己是否受害者,修訂《私隱條例》在所難免,諮詢大眾時須檢討個人資料私隱專員公署的角色,強制設立通報機制,要求加強企業資訊保安,也要限制企業在縮減成本而把客戶的個人資料「外判」到承辦商或轉移境外「儲存」等。
昔日,部分企業又要限制客戶簽署收集個人資料的聲明,否則不會向客戶提供服務,目的出於「免責」而非「保障」,對客戶毫無保障,這未免太霸道;東窗事發後,皮球又踢來踢去,客戶有冤無路訴,要解決的是問題,以及防範個人資料被不法挪用招損失,一個又一個敷衍又官腔的回覆,無補於事。所謂「冤有頭,債有主」,假若客戶因資料被盜而蒙受其他損失,只要在法定限期內證明損失與私隱被盜的因果開係,便可向疏忽管理的營運者追究民事責任和索償,現在怎樣撇清責任或與資訊保安承辦商割蓆也好,屆時法院將釐清事件的權責。
文 : 朱家健
深圳大學港澳基本法研究中心兼職研究員、全國港澳研究會香港特邀會員、香港基本法澳門基本法研究會會員
*作者文章觀點,不代表堅料網立場