(in Chinese only) 網絡安全隱患(下):各國法律如何保障網絡私隱權

DATE

在上一期的文章中,我們簡述了在科技急速發展的年代,個人的網絡私隱權如何納入國際人權法的框架。聯合國人權理事會確立並重申,私隱權是人的尊嚴的體現,牽涉對個人的自主及個人身份認同的保障。而在科技發展、網絡普及的年代,保障個人信息的私隱尤其重要。聯合國亦認為,地方政府應直接發揮積極作用,建立一個能夠在數位世代保障個人資訊的制度,包括行政及司法措施。

國際標準對私隱權的要求

網絡世代的隱私權是《世界人權宣言》第12條的延伸與當代應用,該條款規定,任何人的私生活、家庭、住所和通信不得受到任意干涉,其名譽和尊嚴不得受到攻擊。這一原則在《公民權利和政治權利國際公約》中進一步得到強調,要求各締約國保護個人免受不合理和非法的干預。聯合國會員大會於2013年通過的68/167號決議,進一步強調了在數位環境中保障個人私隱的必要性。聯合國認為,科技發展除了使人類擁有新的通訊方式,也指出科技同時加強了國家與企業監控的能力,並強調任意或不合法的資料收集,將損害民主社會的私隱權及言論自由。

聯合國並敦促各國應設立或維持獨立的國內監督機制,以確保國家在通訊監察、攔截、以及個人資料搜集上具備透明性。並於2020年的75/176決議中重申,人民在現實生活中享有的私隱權在網上亦應受到保護。理事會認為,私隱權的具體有效保護措施取決於各國的法律、監管制度及行政框架,因為在現今的時代,一個國家及企業可以獲取和使用大量的個人數據,相反個人對於自己的數據如何被收集和使用,在認知和控制都十分有限。故此,國家必須採取特別措施,緩解這種權力與信息的不對稱,以及對人權的影響。值得一提的是,理事會強調企業經常大規模濫用個人信息,並認為必須採取立法措施保障個人的網絡私隱權。

私隱權特別報告員Ana Brian Nougrères 指出,各國必須建立一個保障個人數據的制度,使個人充份了解其個人資料被使用的情況,因而能夠適當地控制自己的數據,並在發生諸如資料外洩損害人權的行為時,能夠獲得補償。

不同國家如何保障公民的網絡私隱權

歐盟在保障網絡私隱權一事上,走在世界的前列。2018年5月,歐盟正式實施了《通用數據保護條例》(GDPR),旨在保護所有歐盟公民數據私隱權的法律框架。GDPR要求企業必須在收集、處理和存儲個人數據時,遵循嚴格的隱私保護標準,並給予個人更多的控制權。例如,個人有權知道其數據被如何使用,有權要求刪除數據,以及有權轉移數據(data portability)。 GDPR不僅適用於歐盟內的企業,也適用於所有處理歐盟居民數據的國際企業。違反GDPR的企業可能面臨高額罰款,這促使全球企業提高數據保護標準。

歐盟的《通用數據保護條例》(GDPR)誕生時,英國仍是歐盟成員國,即便當時英國脫歐已經迫在眉睫。該條例以《2018年數據保護法》的形式在英國成為法律,仍然保留了大部分與GDPR一致的數據保護規範。根據《數據保護法》(2018),個人在數據保護方面擁有多項權利,包括知情權、訪問權和更正權。該法還規定了對數據洩露的通知要求和違規罰款措施,確保數據保護標準與歐盟保持一致。

美國的數據保護框架相對分散,主要依賴於行業自律和法律監管結合的方式,各州亦會制定相關法案。例如,加利福尼亞州的《消費者隱私法案》(CCPA)賦予加州居民要求企業披露他們收集的個人數據類型和來源的權利,並有權要求刪除這些數據。此外,企業在數據洩露事件中需通知受影響的個人,並可能面臨法律處罰。

隨著數據保護意識的增強,越來越多的國家開始制定或加強相關法律。例如,巴西的《一般數據保護法》(” Lei Geral de Proteção de Dados”)旨在提高個人數據保護水平,並向國際標準靠攏。亞洲地區而言,新加坡通過了《2020年個人資料保護(修正)法》,訂定「執法諮詢指引」(Advisory Guidelines on Enforcement of Data Protection Provisions)及「積極執法指引」(Guide on Active Enforcement),並就大型資料外洩事故引入罰則,不論資料外洩的原因為何,均可被罰款最多100萬新加坡幣或公司年收入的一成。

香港的網絡私隱權

目前香港的個人資料保障受法例第486章《個人資料 (私隱)條例》監管。在2019年反對逃犯條例修訂的示威浪潮中,支持政府及反對政府的陣營皆以個人私隱作為攻擊手段,大量警察、官員、記者、示威者及他們的家人被起底公審。這情況促使政府於2021年對條例進行修訂,加入打擊侵犯個人資料私隱的「起底」行為,將之列為刑事罪行,並賦權私隱專員就有關「起底」罪行發出停止披露通知,以及就涉嫌「起底」個案進行刑事調查及檢控。

近年便有多宗涉及個人於網上披露他人資料的案件落案起訴及判刑。與此同時,在2024年上半年共97宗已通報至私隱專員公署的資料外洩事故中,並無任何一宗事故須要問責。香港政府針對大規模的資訊外洩行為,或是企業的資訊安全,一直未有明確的指引或罰則,而個人資料外洩通報亦屬自願通報性質。

隨著科技的發展,網絡私隱權的保障面臨新的挑戰。例如,人工智能和大數據技術的普及,使得個人數據的收集和分析變得更加廣泛和深入,這對現有的私隱保護框架提出了新的要求。各國需要在立法和執法上進行不斷的調整,以應對這些挑戰。同時,作為公民的我們亦應該加強對提供個人數據保持更高的警覺,減少向第三方提供個人資訊,或避免貪一時之快就誤墮網絡安全隱患。

參考資料:

聯合國人權事務高級專員報告:數字時代的隱私權,2021(A/HRC/48/31)https://www.ohchr.org/en/calls-for-input/2021/right-privacy-digital-age-report-2021

聯合國人權高專辦數字時代的隱私議題專頁 https://www.ohchr.org/zh/privacy-in-the-digital-age

MORE
RELATED UPDATES