保安局局長近日終於闡明執法機關向互聯網服務供應商索取用戶文件或通訊內容的法律程序。但也暴露出,現時幾乎沒有法律規管執法機關向供應商索取用戶資料(元數據)的過程。這意味著過往五年間香港警務處及香港海關向互聯網服務供應商發出的23,946項用戶資料索取要求均沒有經過任何獨立或司法審查。
保安局局長說黎棟國於4月29日立法會會議上表示,執法機關「在有需要時向有關人士或機構索取與偵查罪案有關的資料,包括向本地或海外網絡服務供應商要求索取用戶資料(例如用戶名稱及用戶網際網路協定地址(IP地址)及登入紀錄,以便尋找證人、證據或嫌疑人。有關的查詢並不包括索取任何非公開的通訊內容記錄」,這一過程並不需要申請搜查令或經過任何司法審查程序。只有當涉及文件內容時,執法機關才會「根據相關的法律規定,向法庭申請法院手令(搜查令),以檢取任何文件或資料作為證據」。
執法人員似乎認為元數據(metadata),或「非內容」數據,是不敏感非干擾數據。但在當今科技時代,元數據可以揭示關於網絡用戶的很多信息。例如,警方可以通過你的網站使用資訊記錄和IP地址獲知你於何時登錄到本地論壇,以及在論壇上停留多久。在互聯網服務供應商的協助下,警方還可以基本確定你訪問該論壇時的物理位置。
大數據(big data)及定向廣告(targeted advertising)的發展也說明元數據並非「不敏感」及「非干擾」。考慮到有多少公司通過你的元數據來了解你,不難想像政府也可能會這樣做。
香港個人資料私隱專員蔣任宏於最近的一篇網誌中,表示對互聯網用戶元數據缺乏保護的擔憂。蔣認為,我們的元數據比通訊內容可以揭示更多私隱。
「元數據可描述誰與誰在何時通訊、有多頻密、維時多久;發送人與接收者的所在地;誰與他們有聯繫等詳細及全面的資料。因此,這些數據揭示了我們在個人、政治、社交、財務及工作多方面的資料,可以說是鉅細無遺。」
香港關於執法機關索取個人識別信息的監管及法律框架已經落後於其他司法管轄區 ,即使這些司法轄區在私隱保護方面已備受爭議。例如,美國的《電子通信私隱法》(Electronic Communications Privacy Act),儘管因為其對元數據的疲弱保護而屢受攻擊,依然對執法人員索取不同級別的互聯網元數據做出清晰規定。例如,執法人員需要出示傳票(Subpoena)以索取網絡用戶的帳戶资料(姓名、地址)及環節元數據(網絡地址、時間、時長);需要獲得法庭手令(D Order)以索取讯息元數據(電郵收件人、寄件人、時間、時長)。
香港也缺乏對數據保留(data retention)的規管。這一議題最近在世界其他地區有著不同方向的發展。今年三月,荷蘭法官否決了荷蘭數據保留法,該法律要求電信企業保留一年的客戶數據,互聯網服務供應商保留半年的客戶數據。法官表示,雖然該法律有助於打擊犯罪,但也違反了電話和互聯網用戶私隱。相比之下,同樣在三月,澳洲通過了一項有爭議的國家安全法,該法律迫使電信和互聯網服務供應商將用戶資料保留兩年,以幫助執法機關打擊國內恐怖主義。
至於「個人私隱」相對「公共安全」的辯論,有必要重溫法律理論家Robert Post的觀點:「私隱權並非個體利益對抗社會利益的勝利,而是基於社會本身的規範及價值從而對個體提供的保護。私隱問題涉及平衡這兩個不同的社會利益。」
不幸的是,作為法治社會的香港至今還沒有任何法律或法規來規範和監督執法機關索取網絡用戶的元數據,尤其是當我們考慮到這對資訊自由流動和言論自由所產生的影響,後果將更加嚴重。香港市民也必然不希望遠離罪犯的代價是對個人網絡私隱權的侵蝕。
原文刊載於香港資訊公開報告中文網。
This post is also available in English.
若你喜歡本貼,請Like香港資訊公開報告 Facebook 主頁:@HKTransparencyReport
或Follow香港資訊公開報告推特:@HKTransparency
或關注香港資訊公開報告Google+頁面:香港資訊公開報告