圖:個人資料及私隱專員公署表示,現時執法機關(如海關、警方)向電訊供應商索取用戶個人資料時,並非必須出示「搜查令(warrant)」。(攝:麥馬高)
(獨媒特約報導)上星期(1月28日)是國際私隱界盛事——「保障資料日(Data Protection Day )」。本港的個人資料及私隱專員公署(下稱「公署」)現任專員(下稱「專員」)黃繼兒響應「保障資料日」,在facebook專頁發放短片,提醒公眾「慎留數碼腳印」。
公署:執法機關向電訊供應商取用個人資料 搜查令非必須
然而筆者必須指出,現行《個人資料(私隱)條例》(下稱《私隱條例》)在保障公眾留下的「數碼腳印」方面,仍存在一大灰色地帶。從其1月26日舉辦的「2015年年結報告及視察報告」記者會時專員的回應,再次確認現行的《私隱條例》,並無有效監管電訊供應商(如3、CSL、香港寬頻、中國移動等)處理用戶個人資料的方法。
公署首席律師郭美玲在記者會時回應,根據《私隱條例》,當執法機關(如海關、警方)向電訊供應商索取用戶個人資料時,並非必須出示「搜查令(warrant)」。當筆者追問專員,那電訊供應商是否有按《私隱條例》,就執法機關向電訊供應商索取用戶個人資料訂立實務指引時,專員明確表示沒有。
圖:公署本年的主題是「慎留數碼腳印 智慧生活態度」,重點研究網絡私隱。 (攝:麥馬高)
公署將重點研究網絡私隱
調查:本港電訊公司常出現濫用個人資料情況
公署本年的主題是「慎留數碼腳印 智慧生活態度」,更於去年十二月邀請資深傳媒人方健儀拍攝宣傳片,提醒公眾上網要謹慎『用腦』,因為個人資料一經互聯網發放,便無法刪除。在保障個人資料私隱方面,香港一直在亞太區擔當先鋒角色,其發展方向更多觀照歐盟。而其2016的首項重點工作,就是「就大數據及互聯網相關的私隱議題進行研究」。據公署在2015年7月28日公佈的一項「公眾對個人資料私隱的態度」調查結果顯示,近半數的受訪者在過去12個月曾經歷其個人資料被濫用,最常發生的第二高是電訊公司(32%)。
筆者就美國最近一宗有關執法機關無須搜查令,便可向電訊供應商取用「定位紀錄」(如GPS,全球定位系統)涉侵害用戶私隱,被國際知名網絡倡議組織EFF(Electronic Frontier Foundation)告上法院的案例,向專員提問,了解公署有否就此作研究及討論。
圖:現任個人資料及私隱專員黃繼兒(左)及公署首席律師郭美玲(右)。郭美玲表示,公署未有就執法機關向電訊供應商索取用戶個人資料訂立實務指引。(攝:麥馬高)
手機GPS紀錄:受《私隱條例》保障?
當日,筆者在專員發表其「2015年年結報告及視察報告」的傳媒答問環節,提出兩個問題。
一、手提電話「定位紀錄」的用戶個人資料(Cell phone location records personal data),如GPS(全球定位系統)是否受《私隱條例》保障?
專員黃繼兒當時並無直接回應手提電話「定位記錄」的用戶個人資料是否受《私隱條例》保障,只從《私隱條例》的原則性作間接回應。他表示「凡是可以辨識個人身份」的資料,就是「個人資料」; 而《私隱條例》是會保障「個人資料」的。
公署無訂立實務指引:市民在電訊公司的私人資料有何保障?
二、在《私隱條例》下,如執法機關須向電訊公司索取用戶個人的手提電話「定位記錄」,須搜查令(warrant)嗎?如否,公署有就上述情況訂立實務指引嗎?
有關在《私隱條例》下,執法機關向電訊公司索取用戶個人資料(如手提電話「定位記錄」)是否需要搜查令時,專員便請出公署首席律師郭美玲作回應。
郭美玲回應指《私隱條例》並無列明執法機關向電訊供應商索取用戶個人資料須出示搜查令,然而據《私隱條例》第58條,有條文列明執法機關在特定的原則下才可獲得「豁免」,索取用戶個人資料。(如「罪行的防止或偵測」、「犯罪者的拘捕、檢控或拘留」、「任何稅項的評定或收取」、「任何人所作的不合法或嚴重不當的行為、或不誠實的行為或舞弊行為的防止、排除或糾正 (包括懲處)」等)
筆者追問,在無須搜查令的情況下,那公署有就上述情況訂立實務指引嗎?專員黃繼兒表示有就此與電訊公司開會討論,但現階段則明確表示沒有。記者會後,筆者再就實務指引追問郭美玲,她表示通訊事務管理局(The Communications Authority)應有相關指引。然而筆者翻查通訊事務管理局的網站資料庫,卻暫時未見當局有相關指引。
本港執法機關向網絡/電訊供應商索取資料
警務署稱冠
資訊科技界立法會議員莫乃光在本年1月27日,向新上任的創新科技局局長楊偉雄提問,要求當局書面回覆2015年2月至今,政府向(網絡/電訊)供應商提出披露資料(元數據,Metadata為主)要求的詳情。
結果一如既往,警務署以「防止及偵查罪案(主要涉及科技罪案或使用互聯網的罪案)」為由,提出「披露及移除資料」的要求仍然稱冠,分別是3,760次及87次。當中值得注意的是,只有警務署不能提供共向多少間網絡/電訊供應商索取用戶資料,其原因是「沒有備存有關統計數字」。第二高的是海關,以「遏止侵權罪行」為由,數字分別是128次及31次,並列明所取的資料包括用戶的IP地址。
莫乃光:政府索取個人資料欠機制
資訊科技界立法會議員莫乃光表示,從資料可見,香港海關和警務處佔了要求的大多數。在2015年,兩個部門提出了98%披露用戶資料要求和近半移除用戶資料要求,其中海關以「遏止侵權罪行」的原因提出了31次移除要求,但政府從未交待提出要求的理據或機制,令人失望。
莫乃光指出,政府提出要求的法律依據和考慮因素不清晰,應審視各政府部門向供應商提出披露/移除資料要求的程序,並主動定期發布有關數據,提高透明度。