文:腸、K、Aberdeen
在大數據年代,不論是政府部門及企業都輕易收集了大家所有細微的資訊,好好保護私隱並不是容易的事。而當政府要收集立法會議員行蹤時,個人資料私隱專員公署(下稱公署)亦主動跳出來指政府有理。究竟是不是這樣?法夢跟你破解私隱法之迷~
(一)行蹤是否屬於私隱保護?
公署多次稱由於「議員是在立法會大樓公眾地方的位置」,所以行蹤「並非敏感的個人資料」。但其實法律是如何界定不同地方的合理私隱期望呢?
其實法庭不會單純當時的地方是否公眾的放一刀切劃線而是視乎不同情境中當事人對個人私隱的合理期望。所以,即使立法會大樓是公眾地方,當一個議員不是位處眾目睽睽之下議事廳,而只是在大樓內外出入,他仍也可有合理期望他的敏感資料 – 包括他的行蹤-不會被仔細紀錄。換言之,要在密封的私人空間內方可享有對行蹤私隱的合理期望這種講法並不穩妥。
退一步說,就算不把行蹤紀錄本身視為敏感資料,但閱讀行蹤記錄的人仍可輕易推斷到不同相當敏感的資料,譬如如廁習慣、社交紀錄。關於紀錄行蹤最切身的例子莫過於閉路電視。就算閉路電視往往只記錄公眾在公眾地方的行蹤,但法律都同樣將錄影視作屬於個人資料,並且按私隱法律監管。
事實上,公署在2017年5月發表的刊物《通過電子裝置進行實體追蹤及監察》中就提到,「追蹤或監察某人的動向和位置,以及他在每個地點逗留的時間,或可建立該人士的資料檔案,顯示其個人喜好、興趣、性別或消費力。這些檔案資料,不論準確與否,可能被追蹤者、監察者或第三者進一步使用,例如把該人士標籤。」
更何況,把個人行蹤視作敏感資料不單是公署自己的判斷,更也是國際標準。歐盟各國既私隱專員組成的Article 29 Data Protection Working Party(即現時的European Data Protection Board(EDPB))、加拿大聯邦私隱專員、以至德國及捷克的憲法法院等均指出在沒有當事人同意下,任何機構系統性地在公眾領域收集表面上不敏感的大數據,以分析其社交及個人行為模式,不下於直接截取通訊內容的私隱權侵犯。
(二)政府只是為了過議案?為何不合法?
公署稱「政府有責任促使立法會能適時審議議案」。可能公署只集中在私隱法,無留意開公法。但是,赤裸裸的「行政向立法施壓」並不合法,因為這違反三權分立下互不干預內務的原則。
按照終審法院2014年《梁國雄》剪布案第27段,香港憲制實行「權力分立」,即行政權、立法權及司法權分別專屬於政府、立法會及法院。具體來說,綜觀整本《基本法》,立法會是唯一擁有「制定、修改和廢除法律」職能的機構,即《基本法》第73條第1段所賦予的功能。法案委員會作為立法會行使立法職能的重要一環,委員會的運作和委員的工作方式理應也受「不干預原則」保障。憲制上,政府根本沒有職權「監察」立法會,更遑論其日常運作。
即使假設政府有權責促使立法會能適時審議議案,但政府及公署仍然無法解釋,亦從無嘗試解釋單單記錄行蹤如何「促使立法會審議議案」。在搶手機事件發生之前,許議員亦詢問過當局,政府當時的回答是措施只是為了「觀察議員是否在會議廳/會議室或立法會大樓內,以便司局長或高層人員更了解議員整體的出席率。」 如果這是政府的理由,在立法會秘書處本身已有記錄會議人數的前提下,更難令人理解政府為何要重覆此動作。
(三)政府解釋左是否就夠了?
不是。法律除了要求政府解釋搜集資料的目的之外,亦要求他採用盡可能減低侵害私隱的手段,須符合比例及適度。上任私隱專員在《坤麗(亞洲)有限公司收集指紋資料》(報告編號:R15–2308,2015年7月21日),其實已將相關原則講得很清楚、很詳細:
「在決定坤麗收集指紋資料是否屬超乎適度時,須考慮以下問題:
(i) 就保障辦公室安全及員工考勤的目的而言,收集指紋資料是否必需?
(ii) 收集指紋資料是否達致上述目的之有效方法?
(iii) 收集指紋資料所帶來的好處與其對個人資料私隱帶來的風險是否合乎比例?
(iv) 是否有其他較不侵犯私隱的方法可達致上述(i)的目的?如有,資料使用者便應考慮採用其他方法以消除或減少對個人資料私隱的負面影響。」
再一次,政府在這方面的理據都一概欠奉。政府從來沒有解釋過其他促使議案通過又不牽涉私隱的方式為何不可行、為何必須蒐集議員行蹤、蒐集議員行蹤資料帶來的風險是否和為何與或能促使議案通過的好處相比屬合乎比例。換句話說,政府可謂完全無視了考慮是否需要蒐集資料和手段是否適度的要求。
(四)有公署保障,唔係就跟足規矩了嗎?
在議員私隱一事上,公眾討論現時都集中在資料搜集方面,但其實私隱保障另一很重要的面向是資料使用。保障資料原則寫明,政府作為資料使用者,在收集資料當時或之前,除應明確告知議員(資料當事人)收集的目的外,還應明確具體地指出誰可以使用或閱讀資料。
根據許議員所述,他曾去信政府行政署查詢「政府具體收集了個別議員哪種資料?是否包括出入紀錄、時間、身處位置?」然而,他從未獲回覆。這已明顯違反了第五條保障資料原則。
保障資料原則的精神是要求政府提供合理充分的資料,讓資料當事人知道資料使用者將如何使用他的個人資料、把他的個人資料轉移至哪類別人士,以便資料當事人知道資料使用者日後使用他的個人資料時是否符合條例的規定 (私隱專員,《恒生銀行有限公司向儲蓄戶口申請人收集過量資料》報告編號 : R11-8371,2011年12月15日,第14段)。
回到閉路電視的例子,上述「明確告知」的規定的效果,就是使用閉路電視的人需要在受監察範圍的出入口透過明顯的告示,告訴經過的公眾人士他們受到閉路電視監察、操作閉路電視系統的機構資料、監察的特定目的,以及負責處理個人資料私隱事宜的人士的聯絡資料(私隱專員,《香港鐵路有限公司閉路電視系統視察報告》報告編號:R13-2768,2013年4月9日第4.14段)。
換言之,就算政府多次回答了議員提問、或行管會等匯報過,這些間接的「告知」都不足夠。政府自己有責任,主動地採取所有切實可行的步驟,確保被收集資料的當事人知道其個人資料將會用於甚麼目的及可能移轉予甚麼類別的人(私隱專員,《中國工商銀行(亞洲)有限公司收集及使用客戶的個人資料作直接促銷》,報告編號 : R11-7946,2011年6月20日,第23段)。
私隱專員法律上無權任意決定無須展開調查。每當投訴出現,私隱專員必須按既定程序考慮,全面地運用其酌情權,考慮是否須對某一項投訴作調查或進一步調查,方為公允(《朱以信與個人資料私隱專員》行政上訴案件第10/2014號,2014年8月22日)。