黃鳳嫺女士
消費者委員會總幹事
二零一三年十二月三日
非常榮幸可以來到南京參加「消費者隱私信息保護」研討會,並感謝江蘇省消費者協會安排時間讓我跟大家分享香港消費者隱私信息保護工作的發展。
在此,請容許我為今天的分享內容作一個小序,內地與香港在慣常用語上經常會有一些分別,好像普通話所說的「道地」,我們香港人用廣東話會說成「地道」,今天研討會所要討論的「隱私」,在香港我們會說成「私隱」,而信息隱私,在香港一般會說成資料私隱。所以現在先跟大家說清楚這差異,那麼待會兒當我談及香港在「私隱」保護方面的情況時,大家就不用抓不着頭腦了。
香港對消費者信息隱私的保障,主要是通過由1996年開始生效的「個人資料(私隱)條例」,這條例並非只是保障消費者,更是適用於所有在世人士,故此並不包括已故人士、機構單位等,此外條例只針對個人資料的私隱,而個人資料所指的是與個人有關並可確認個人身分的資料,這些資料必須是在文件中的資訊,並可供查閱及處理,譬如文字檔案、影像、錄音等都可能包含個人資料,關鍵是可否從這些文件確認資料當事人的身份。
私隱條例訂下了六大保障個人資料的原則:
第1原則:個人資料的收集必須與資料使用者的職能和活動有關,並以合法公平的手法適量地收集,並須說明收集的目的及資料用途,為符合第一原則,香港有不少機構在收集個人資料的時候,會發出一份“收集個人資料聲明”,舉例說您在香港開立一個銀行戶口,或者向電力公司開立用電戶口,都有可能會收到這種2“收集個人資料聲明”;
第2原則:資料使用者須採取切實可行的步驟確保個人資料的準確性,並在完成資料的使用目的以後,刪除資料;
第3原則:限制個人資料使用於當初收集的目的或直接有關的用途上,否則必須首先取得資料當事人的同意;
第4原則:資料使用者須採取切實可行的步驟確保個人資料的保安;
第5原則:資料使用者應制定及提供個人資料的政策及實務,一般稱為“私隱政策聲明”,若果大家瀏覽香港的網站,譬如本會的網站,可能會在網頁的底部發現這一欄,點擊後便可閱讀該網站如何履行保障個人資料的責任;
第6原則:個人有權利查閱及更改個人資料,資料使用者應在指定的時間內,依從個人提出的查閱或更改資料要求。假若任何資料當事人因為資料使用者違反私隱條例規定而蒙受損害,可透過民事程序申索賠償,這賠償可包括感情傷害。
同時,香港亦成立了一個獨立的法定機構-個人資料私隱專員公署,負責監察私隱條例的執行,主要工作包括發出實務守則,為遵守條例規定提供實務性指引;視察機構的個人資料系統,包括政府部門,法定法團及商業機構的系統;對涉嫌違反條例規定的情況作出調查,並在適當情況下發出執行通知;就可能對個人資料私隱有不利影響的個人資料處理方法及電腦科技進行研究及監察,並向政府作出立法及政策上的建議;還有處理資料當事人的投訴和協助進行法律訴訟,以及推廣公眾教育工作,以確保個人資料私隱得到保障。
雖然大家都逐漸認識到隱私權的基本性和重要性,但是隱私權好像人如其名一様,屬於比較隱性的權利,一般消費者很少主動保護自身的隱私權,也很少為隱私問題作出投訴及申訴,本會到今年十月為止接獲多達二萬五千宗的投訴個案當中,只有極少數量的63宗,是涉及有關私隱的投訴。本會早於2001年便注意到日漸流行的網上購物模式為消費者私隱所帶來的威脅,當時進行了一個結果相當有趣的調查,發現消費者在網上購物方面最關注的問題是「個人私隱保障」,有46.3%,其次是「資料傳送安全度」,有39.4%,再其次才是「產品素質」、「產品價格折扣」、「網站經營者的名氣」及「送貨方便程度」,但奇怪的是在受訪者當中,只有百分之11.7的網上購物的人會在購物之前詳細閱讀有關公司的個人私隱聲明。
從這項小小的調查可以看到,消費者都非常重視自身的隱私,因為這關系到我們自行獨處的權利(the right to be alone),即是從社會中抽離出去,自行獨處或只與個別人士交往的自由選擇權,但是這權利的維護經常容易被營商者與消費者忽視,因為侵害私隱的後果通常沒有侵害其他消費者權益的後果那麼直接及顯著,並且一般難以量化所帶來的損害。然而,消費者的隱私安全問題往往會廣泛地牽連社會上普遍的消費者,或者影響為數不少的消費者群組,而且會引起軒然大波,這情況在2010年在香港發生的“八達通事件”徹底地反映出來。
曾經來訪香港的朋友可能都會知道,八達通是香港的智能卡收費系統,只需帶着這張卡,便可以乘坐地鐵、公車、火車,也可以到便利店、超市、快餐店消費。在2010年9月,一名聲稱八達通公司的合作夥伴-信諾環球人壽保險有限公司-的前僱員,向傳媒及個人資料私隱專員公署揭發,八達通獎賞公司將這個計劃的會員個人資料出售給合作商戶,作直接促銷用途。其後,八達通獎賞公司亦公開承認曾將會員個人資料轉移給六個商戶,出售了197萬個個人資料,取共4,400萬港元的利益,這件事情引起廣泛的社會關注及批評,個人資料私隱專員公署展開調查,指出八達通公司在收集及使用客戶的個人資料的過程中,違反了《個人資料(私隱)條例》下的保障資料原則
鑒于八達通公司已承諾會停止有關的行爲,因此私隱專員沒有作出進一步的執法,但是經過八達通事件以後,私隱專員亦陸續審視了多個著名的客戶忠誠計劃有關收集及使用會員個人資料的情況,其中包括大家可能比較熟悉的屈臣氏集團,經過調查後,私隱專員向屈臣氏發出執行通知,要求對方停止過度收集客戶資料,及清楚述明可能會把客戶資料轉交給什麼機構作直接促銷用途。
同時,私隱專員更發現有一間名為「香港預防協會」的公司,以「響應全民醫療體檢計劃」為名,通過電話收集個人資料,實情是向一間保險公司提供這些個人資料,作直接促銷的用途,這個做法亦嚴重違反了保障私隱原則,引起了社會的迴響。
香港政府在2011年中向立法會提交修訂私隱條例草案,採納了多項私隱專員提出的建議,加強商戶進行直接促銷活動的時候,對消費者個人資料的保障,本會亦就消費者如何具體行使自己的權利,在草案公開諮詢期間向政府提交意見書。修訂條例在2012年6月通過,並在今年4月1日生效,規定資料使用者必須先告知資料當事人將會使用的個人資料種類、用作什麼類別的促銷及將向什麼類別人士提供有關資料作直接促銷等事項,並提供回應途徑,讓資料當事人表明是否反對這樣的使用方式,如未獲資料當事人的同意,不可以進行直接促銷或將資料提供予第三方作直接促銷,如果未能符合這些規定,可以構成罪行,最高可被判罰款一百萬港元及監禁5年,大大增加了私隱條例的阻嚇性,亦回應了社會大眾在八達通事件後對加強個人資料私隱保障的期望。
然而,修訂條例亦就商界在市場推廣方面的需要及利益,作出了一定的平衡,譬如剛才提及的資料當事人「同意」,廣義地包括「表示不反對」,雖然緘默將不構成「同意」,但這廣義的定義為商界提供了一定的彈性,毋須取得客戶正面的同意指示,例如可以在給予客戶回覆的表格內,要求客戶如反對將有關資料作直接促銷用途的話,在「我反對收取直接促銷資料」的空格上加「」號,假如消費者沒有加上這「」號,便可構成條例下的同意,讓商戶更容易合法地進行直接促銷活動。此外,直接促銷在條例下亦有相當特定的意義,方式可以是透過電話通話、電話短訊、傳真、郵件、電郵等,但必須是以特定人士為對象,推銷產品、進行廣告宣傳、或尋求捐贈,故此不包括撥打隨機抽出電話號碼的人對人電話通話(cold calls),亦不包括非應邀的商業電子訊息,雖然這類促銷行為可能也會侵害個人自行獨處的權利,但因為這些活動未有涉及使用個人資料,故此不在私隱條例的規管範圍之內。
針對濫發商業電子訊息活動,香港在2007年通過了另一條例-「非應邀電子訊息條例」,訂明發送商業電子訊息的規則,例如必須提供取消接收選項,以及推出「拒收訊息登記冊」等,這條例由通訊事務管理局執行,可算是香港在保護個人資料私隱以外,進一步保護個人空間隱私的法例。
在這法規及各執法機關已經相當到位的情況下,香港消費者委員會亦不可鬆懈,現時資訊發達,科技日新月異,消費者隱私的問題總會為維權工作帶來種種的新挑戰,我們不時密切留意消費市場及新興科技的動態,在政策上,譬如像先前在電子健康記錄系統、共用個人信貸資料方面,我們都曾經為消費者發聲,向政府提交意見書;另外,一如以往我們非常注重並鼓勵商界尊重消費者權益,譬如在2002年本會與私隱專員公署等機構1聯合推出「保障固定及流動電訊服務營辦商顧客資料的實務守則」,為電訊營辦商作出具體指引,如何提升對客戶資料保障,於2005年,本會又製定了「良好企業社會責任指引」,當中亦強調顧客私隱保障的重要性,得到22個商會、專業團體及行業組織支持,當然;作為消保團體,我們亦會繼續透過教育工作,加強消費者對私隱保障的意識,譬如在本會網站內的消費指南中,我們特意加入網上消費專題,提醒消費者提防網頁黑客及俗稱「曲奇」(Cookies)的電腦程式,保障自己的財務及個人資料,免被截取。
消費者信息隱私關乎消費者基本的權利,同時亦可能牽涉到消費者的重大金錢損失。回顧美國已故總統肯尼地(J.F.Kennedy)在1962年的國會演說中,提出消費者有四大權益:安全權、知情權、自由選擇權及申訴權,隨着社會不斷進步,消費者的基本權利已逐步擴濶至八大基本權利2,現在也應該是時候把隱私權一併加進消費者的基本權利了。而隨着網上消費日漸普及,消費者與商戶經常身處於不同地域,相信將來保障消費者隱私的工作必須要跨地域的溝通和合作,就讓今次這個難得的交流研討會作為一個起點吧。在此,我代表香港消委會謹祝大家在隱私保護工作上取得更大的成功。謝謝!
1另還有(1)廉政公署(2)當時的電訊管理局
2加添了(1)滿足基本需要、(2)發表意見、(3)接受消費者教育、(4)享有可持續發展及健康的環境四大權益