「安心」事件看私隱保障 借鑑歐盟6原則

知識內涵 13:00 2019/05/26

分享:

「安心」事件看私隱保障 借鑑歐盟6原則

早前的「安心偷食」成為城中熱話,事件背後反映出公共交通服務業界對於收集及處理顧客個人資料的守則並不理解,容易在不知情之下犯錯。「安心」事件僅屬冰山一角,個人資料私隱遭外洩的情況經常發生。

為保障個人私隱,港府或可借鑑歐盟的「通用數據保護規則」(General Data Protection Regulation, GDPR)。本文以「安心」事件為案例解釋GDPR的六項重要原則。

原則一:保護對象

網絡上數據格式及內容繁多,GPDR所保護的是任何能夠辨別個人身份(Personal Identity)的資料。在互聯網世界外,實體個人身份數據包括身份證號碼、住址、照片、指紋及其他生物特徵等數據。當進入虛擬世界後除了該等資料的數碼版外,還有網上操作行為例如「小型文字檔案」(cookie)、「數據挖掘」(data mining)、「大數據分析」(big data analysis)等潛系統也輕易地抽取用戶個人身份。

原則二:知情權(Right to be Informed)

資料的收集、處理和用途必須事先獲得當事人同意。「安心」事件中,茲事的士應該在車內的當眼處貼出告示,列明一切。當乘客閱讀及了解情況後,他們有權選擇拒絕接受資料採集而落車。

原則三:被遺忘權(Right to be Forgotten)

資料的當事人可以要求數據儲存方及處理方,删除其個人資料及停止使用其個人資料,適用範圍包括供應商和其他第三方服務商等。例如當使用及處理數據之目的與當事人所同意的用途不一致、非法處理個人資料,或者當事人撤銷同意書等行為,當事人都有權要求刪除相關資料。

原則四:限制處理權(Right to Restricted Processing)

當事人有權拒絕其個人資料被處理。這情況常發生在當事人發現資料不正確,或者他不同意處理個人資料的方法。在這原則下,涉事司機理論上是不可出售「安心偷食」錄像。

原則五:自動決策及剖析權利(Rights Related to Automated Decision Making and Profiling)

這些權利旨在保障當事人在完全缺乏人類的參與之下,被機器作出針對自己的錯誤判斷(例如工作表現、信用評估等)。現實中,服務商利用大量不正確的數據而對當事人作出錯誤決定的例子比比皆是,簡單如某人經常到超市買酒,就可能被機器誤標籤為「酒鬼」。

原則六:數據的可攜帶權(Right of Data Portability)

只有數據當事人有權把數據從一個數據儲存商搬到另一個。因此,在這原則之下「安心」事件中的涉事司機是無權把錄像轉售予他人。

(節錄)
【原文:保私隱免變「安心」 借鑑歐盟6原則

撰文 : 黃錦輝 香港中文大學工程學院副院長(外務)、香港資訊科技聯會前會長

欄名 : 知多啲

緊貼財經時事新聞分析,讚好hket Facebook 專版