跟進網誌193〈資料保護與營商之道〉文章所述,究竟香港商業機構的營商道德是否經已淪落?完全罔顧保障個人資料私隱?一切決策祇以盈利為考慮因素?雅帆再提供一些事實和觀點,讓讀者進一步思考。

話說「有線電視」(Cable TV) 於8月中曾報導一則「渣打銀行」涉嫌違反《個人資料(私隱)條例》(以下簡稱《私隱條例》)的新聞,詳見「有線寬頻」(i-Cable) 網頁「新聞有線人」;網址是–
http://cablenews.i-cable.com/webapps/story/home.php

內容引述如下:

「有渣打銀行前職員表示,渣打曾經將客戶姓名及電話轉移作保險推銷。渣打回應從無出售資料,但承認為一間保險公司擔任代理,將客戶資料交給一間電話中心推銷保險。

金管局早前公布有六間銀行將客戶個人資料出售或者轉交沒有關連的第三者。當日渣打表示不是六間銀行之一。但有渣打前僱員就透露經常有客戶投訴收到失卡保險公司CPP的推銷電話。

渣打總裁強調沒有出售過客戶資料。渣打之後再補充,是CPP委託渣打擔任代理推銷保險,渣打沒有直接將客戶私隱交給CPP,而是外判一間電話服務中心聯絡客戶,強調做法符合法例要求。」

雅帆質疑渣打銀行的上述推銷保險行為,仿似「八達通事件」,相當可能已違反《私隱條例》保障資料第1及第3原則,即屬違法而並非犯罪行為;及相當可能已違反《私隱條例》第34條,若經定罪即屬違法及犯罪行為,所持理據詳列網誌193,在此不再贅敍。

香港金管局於8月中曾去信所有銀行,規定9月底前,全面執行私隱專員發表《有關八達通日日賞計劃收集及披露個人資料的中期調查報告》建議,包括:

(1) 申請人應獲給予「知情選擇」情況下,才算授權其個人資料可被用作直接促銷用途;

(2) 以「清晰字體」顯示任何對申請人之個人資料私隱有影響的合約條款;

(3) 將客戶個人資料合理地移轉至業務夥伴之前,評核該業務夥伴所提供的資料私隱保護是否充足,並應在適當情況下進行私隱影響評估等。

其後,隨着某銀行違規泄露客戶資料的上訴遭駁回,金管局再於9月初向銀行發出指引,要求銀行加快檢討,尤其是利用客戶個人資料作直接促銷用途的安排,盡快實施。

其實,香港法律改革委員會1994年出版《有關保障個人資料的法律改革報告書》(Report on Reform of the Law Relating to the Protection of Personal Data;以下簡稱法改會報告書) 就索取當事人同意更改其個人資料用途的情況,曾經強調–

「例如某人申請按揭,並同意就該宗按揭交易使用其個人資料,但不應規定他必須同意貸款者的保險部門將該等資料用於直接向他推銷保險。」(見法改會報告書第10.39段)

再者,法改會報告書早有先見之明,提醒資料使用者不應利用細小字體,企圖遮掩任何對申請人個人資料私隱有影響的合約條款–

「我們應該強調一點:我們認為重要的是被要求給予同意的資料當事人應獲悉有關同意的確實性質和後果。我們不願見到我們的建議被人以取巧的方式繞過,例如用極小的字體列印有關協議條文,這樣做根本不能取得資料當事人真正的及在充分知情下作出的同意。」(見法改會報告書第10.40段)

換句話說,於資料使用者向資料當事人索取同意將其個人資料作其他用途時,當事人應該是在完全透明地獲悉有關同意的確實性質和後果;並且是在自願的情況下給予該同意。

可悲的是,法改會16年前預測資料使用者的取巧行為,結果在險惡奸詐的商業世界中應驗了,這些商人的誠信固然可疑;其行為更難以用缺乏提示來開脱。

話說回來,回應金管局上述的要求,「香港銀行公會」(The Hong Kong Association of Banks) 屬下私隱資料小組亦於早前重新運作,與私隱專員公署合作,研究是否需要修改銀行界通用的私隱守則。今屆(2008至2011年)的「香港銀行公會」主席,由渣打銀行輪流出任;因應渣打銀行亦發生上述涉嫌違反《私隱條例》的推銷保險行為,則公衆對渣打銀行以公會主席身分,領導業界研究是否需要修改私隱守則,可還持有信心?

由商營電視的即時新聞報導,鏡頭轉移到官辦電台的電視專輯討論。話說「香港電台電視部」(RTHK) 製作《鏗鏘集》於8月29日播出的一集,題為〈共用個人資料〉,探討近期「八達通事件」所揭露商業機構涉嫌違反《私隱條例》。節目中訪問「香港直銷市場推廣商會」(Hong Kong Direct Marketing Association) 主席,該名西洋人強調,其會員祇在「資料分享中心」(data sharing centre) 分享彼此所持有的個人資料,並在同一中心用電話人對人向客戶進行直接促銷,祇是「資料分享」(data sharing) 而沒有牽涉「資料轉移」(data transfer) 和「販賣個人資料」(selling of personal data),故此沒有違反《私隱條例》,這亦是使用個人資料進行直接促銷已被「全世界廣泛接納的模式」(a world-wide generally accepted model)。

他進一步指出,這次「八達通事件」所引發的涉嫌侵犯私隱問題,並非由客戶首先提出;亦並非源自客戶投訴;祇是純粹一宗政治事件 (It was not started by the customers; it was not complained by the customers; it was a political situation)。

「私隱專員」在回應上述言論時表示,由於「分享」(sharing) 是一個新概念,目前的《私隱條例》未有涵蓋,需要進一步研究問題。有關節目詳情,讀者可參考香港電台網頁,網址是–
http://programme.rthk.org.hk/rthk/tv/programme.php?name=tv/hkcc&d=2010-08-29&p=858&e=115470&m=episode

雅帆對商會主席的存心狡辯與私隱專員的軟弱回應,絕不苟同。《私隱條例》於附表1載列保障資料第3原則,訂明有關「個人資料的使用」;於第2條釋義闡明:「使用 (use),就個人資料而言,包括披露或移轉該等資料 (use,(使用),in relation to personal data,includes disclose or transfer the data) 」。

首先,根據雅帆的認知,「使用包括披露或移轉」乃指「使用包括披露或移轉,但不祇限於披露或移轉」;究竟「分享」是否「使用」的一種方式?「分享」應否被「使用」的一般接納定義 (generally accepted definition) 所涵蓋?雅帆認為經已非常清晰,若仍有爭辯,惟有留待法庭的公正裁決。

其次,當第一名資料使用者(或透過代理人)為第一名資料使用者「某些職能和活動有關的指定目的」而收集個人資料,在未得資料當事人「訂明同意」(prescribed consent) 下,於資料分享中心提供該等資料與第二名資料使用者(或其代理人),作為第二名資料使用者「其他不同職能和活動有關的不同指定目的」用途,則基於目的已經更改,而違反《私隱法例》的保障資料第3原則,至於分享並非轉移資料的說法,祇不過是騙人的幌子。

再者,「分享」(sharing) 一詞在本土並不新鮮;在國際更是沿同多時。英國資訊專員公署 (Information Commissioner’s Office) 於2007年出版《資訊專員公署有關分享個人資訊實務守則的架構》 (The ICO’s Framework Code of Practice for Sharing Personal Information);及英國司法部 (Ministry of Justice) 於2008年7月11日發出《資料分享檢討報告》(Data Sharing Review Report),便曾深入鑽研分享個人資料的問題。香港私隱專員剛新上任,其有關「分享是一個新概念」的說法,委實令人驚訝和失望。

從商界對保障個人資料私隱的態度,放眼政府的私隱政策取向。香港政府於2009年8月發出《檢討《個人資料(私隱)條例》的諮詢文件》,其中〈附件2:不予跟進的建議〉A1項目之下第2至6段,解釋有關「重整直接促銷的規管機制」,載錄如下:

「2. 私隱條例第34條規管資料使用者把個人資料用於直接促銷活動,要求取得個人資料並把該些資料用於直接促銷的資料使用者,須通知有關資料當事人他有權選擇拒絕其個人資料用於直接促銷。倘資料當事人要求資料使用者停止使用他的個人資料作直接促銷,資料使用者便不得這樣做。凡資料使用者在無合理辯解下違反這項規定,即屬違法,一經定罪,可處第3級罰款(最高可達10,000元)。

3. 為避免不受管制的直接促銷活動變得愈來愈多,我們曾研究是否需要重整在私隱條例下直接促銷的規管機制。考慮的方案包括:
(a) 引入新規定:凡首次把個人資料應用於直接促銷,資料使用者須取得資料當事人明確同意,方可使用其個人資料(即資料當事人選擇同意對方使用其資料);
(b) 針對直接促銷活動,設立全港適用的拒收直接促銷電話中央登記冊。

4. 私隱條例的目的是保護個人資料私隱。條例第34條已規管在直接促銷中使用個人資料。為防止在直接促銷中濫用個人資料,我們已建議提高第34條的違規罰則(請參閱建議12)。

5. 以電子通訊形式進行的直接促銷活動(人對人促銷電話除外)受《非應邀電子訊息條例》(第593章)規管。當局正監察人對人電話推銷的活動。倘若日後這些問題增多,當局會考慮是否可以在《非應邀電子訊息條例》規管這類活動。

6. 有見及此,我們認為不適宜透過修訂私隱條例,以重整直接促銷規管機制。」

歐美國家的資料使用者,透過網上或書面表格收集個人資料作直接促銷用途時,提供資料當事人可選擇「是否同意個人資料作直接促銷用途」的安排 (opt-in arrangement),以便更有效規管直接促銷活動和保障個人資料私隱,並已是實行多年的慣常措施。何以香港直銷商會和政府決策局卻未有引進此項良好措施?並否決跟進上文引述第3(a)段 — 即資料當事人選擇同意對方使用其資料 — 的建議?

另外,有關否決跟進上文引述第3(b)段 — 即設立全港適用的拒收直接促銷電話中央登記冊 — 的建議 (理由見上文第5段),究竟政府在監察人對人電話推銷的活動,進展如何?話說當局負責官員於2009年11月9日出席立法會「資訊科技及廣播事務委員會」會議,檢討人對人促銷電話的規管。政府當局就人對人促銷電話提供的文件(立法會(CB(1)240/09-10(04)號文件),簡述了議題的背景,錄述如下:

「為控制非應邀商業電子信息的問題,《非應邀電子訊息條例》(「條例」)於二○○七年十二月全面實施。《條例》規管發送商業電子信息,包括傳真、電郵、短訊及預錄電話信息,但不涵蓋人對人的促銷電話,以留下空間予正常電子促銷活動發展。雖然人對人促銷電話不受《條例》規管,當局同意繼續監察有關情況,如此類電話對公眾造成嚴重的問題,當局會考慮作出規管。‥‥」

負責官員向議員解釋尚未計劃將人對人促銷電話納入法例規管範圍,根據上述會議紀錄,其重點錄述如下:

「‥‥商務及經濟發展局副局長表示,本港大多數商業機構屬中小型企業,他們依靠人對人促銷電話來促銷其產品/服務。政府當局於2006年擬訂《非應邀電子訊息條例》時,考慮過各方意見,為了保障公眾權利,又要容許合法電子促銷活動在本港發展,在兩者之間取得平衡,故未將該類電話列入該條例的規管範圍,以免妨礙合法電子促銷活動在本港的發展。他特別指出,人對人促銷電話確實為某些來電接收者和業界帶來經濟利益。部分受訪者覺得該類電話有用,可為他們帶來產品資訊和益處。公眾意見調查的受訪者中,約21%曾在人對人促銷電話中進行或同意進行商業交易。業界意見調查結果亦發現,公司能夠透過人對人促銷電話做成交易,增加銷量。業界意見調查中,三分之一受訪者表示促銷電話的成功率有5.1%到10%,而另外三分之一表示成功率超過10%。‥‥」

「‥‥電訊局總監表示,根據業界意見調查,4個主要商業界別(即財經、電訊、電話中心和保險)共打出超過90%人對人促銷電話。一旦實施規管,這些商業界別會最受打擊。然而,商務及經濟發展局副局長和電訊局總監同意,人對人促銷電話的潛在經濟利益,不應凌駕於公眾取消接收不受歡迎的人對人促銷電話的權利。雖然立法規管可能與問題的性質和程度不相稱,但某種形式的規管是必要的。就此,當局會制訂行政措施,以保障來電接收者的權利,盡量減少對他們的不便。當局會促請撥打人對人促銷電話的公司既要自願遵從實務守則,承諾讓公眾監察其遵從情況,亦應維持內部取消接收名單,並加強履行市民的取消接收要求。與此同時,當局會推行宣傳計劃,教導市民認識取消接收該類不受歡迎的促銷電話的權利,以及如何使用取消接收機制來保障自己,不再接收人對人促銷電話。假如行政措施無法解決人對人促銷電話所造成的問題,當局會考慮進一步的措施,例如立法規管。‥‥」

如此這般,當局繼續「大耍太極」,立法規管人對人促銷電話也就遙遙無期;設立拒收直接促銷電話中央登記冊亦淪為不予跟進的建議。

反觀英國的經驗,根據《私隱與電訊交流(歐洲議會指令)規例2003》(Privacy and Electronic (EC Directive) Regulations 2003),設置「電話接收選擇服務」(Telephone Preference Service (TPS)),市民可免費自由參與這項服務登記册,便能拒絕接收有關非應邀銷售或直接促銷電話,一經加入,除非已獲得當事人同意,否則法例禁止所有直銷機構致電已登記電話號碼。這項服務由政府管理,經費卻由使用登記册資料的直接促銷商支付。美國亦有類似的「拒收直接促銷電話名單」(Do Not Call Lists)。在這些保障私隱安排之下,英美商人可以繼續有效營運,香港商人卻缺乏維持生存空間?何以香港政府落後於國際趨勢,甘冒官商勾結的批評,傾斜向商業機構的營商利益,而犧牲市民大衆的個人權益?

香港《私隱條例》自1995年制定,至今已有13載,雖曾經歷小風波,過程尚算風平浪靜。及至「八達通事件」,才將埋藏已久的計時炸彈引爆,衆多商業機構將數以百萬計客戶之個人資料目的,更改作直接促銷用途,哄動全城。今天或許正是適當時機,為《私隱條例》過往13年的執行歷史,作一段落小總結。

回顧1995年制定的《私隱條例》,究竟保障個人資料私隱的目的為何?從法改會報告書便可知悉梗概,其中曾引述「弗勒廸教授」(Professor Flaherty)的言論說:

「儲存個人資料可以限制機會和鼓吹合群,若連同一套通過監察來控制社會的制度,則更加可能有這個效果。載有經長時間搜集得來的個人資料的檔案可以對個人的行為產生限制的作用;當某人知道他參與尋常的政治活動都會被人監視時,他的行為自會有所抑制,從而產生‘寒蟬’效應。」(見報告書第1.8段)

報告書繼續闡釋說:

「因此,私隱權是不受抑制地行使其他人權(例如言論自由)的必需條件。」(見報告書第1.9段)

「現代處理資料的科技雖然十分精良,但也不能保證所記錄或傳送的資料是絕對準確的,因為這得依賴輸入資料時準確無誤。輸入電腦的資料若不準確便會繼續不準確,但對資料當事人造成損害的可能性亦會較大。」(見報告書第1.10段)

「正如經合組織所說,保障資料法的一般目標是“在一切可能範圍內盡量確保個人的知情權、參與權和控制權。”」(見報告書第8.13段)

故此,當一方面社會上瀰漫着「寒蟬」效應,既使人們的言論、表達和思想自由受到壓抑控制;若另一方面客戶拒絕向商人提供真確的個人資料,官民之間互信盡失,大衆對社會政策和措施抱持猜疑態度,亦令社會的創造和發展遭遇窒礙難前。由此可見,從毫不起眼、細微日常生活中侵犯個人資料私隱的人權事件,卻能防礙商業正常運作,損害社會公平正義,影響深遠,絕對不容輕視。

八達通事件的發生,不但揭露了《私隱條例》未達預期的規管效果,更被社會人士狠批為軟弱無力、漏洞百出。雅帆在網誌193同意為增強條款的阻嚇力而修改法例,包括跟進《個人資料(私隱)條例》諮詢文件中有關「罪行及制裁」的範疇所提出六項新罰則建議。雅帆進一步補充,可參考為法例引進類似英國《資科保護法例1998》(Data Protection Act 1998) 第55條的規定 — 即禁止一切非法取得及售賣個人資料 (the unlawful obtaining and selling of personal data),如有違反,即屬刑事罪行。

隨着整體社會的發展,《私隱條例》亦必須與時俱進,譬如英國的《資料保護法例》最初第1版本於1984年制定,第2版本於1998年修訂,並繼續進行改善,最近一次由司法部主持的法例檢討報告書已於2008年完成,相信距離第3版本的修訂已為期不遠。若依英國的經驗,既啟示了香港《私隱條例》應有修訂的迫切需要;但亦證明了沒有永遠適用的完善法例。

故此,雅帆在網誌193指出,《私隱條例》的有效執行,有賴整個社會的持份者 — 包括市民大衆、機構主管、政策高官和公署職員 — 的正面取態、全力支持和克盡己任。然而可惜的是,從本文所述實例,揭破了商業機構的奸狡欺詐、不擇手段;暴露了政策高官的傾斜商界、敷衍塞責;證明了公署職員的資源匱乏、軟弱顢頇;顯示了市民大衆的欠缺認知、漠視善忘。

綜合來說,13年來《私隱條例》的執行可算是嚴重失效。然而,雅帆未能同意將全部責任諉過於未臻完善的法例,從事實證明,持份者的人為因素才是關鍵所在。譬如法改會報告書16年前的提示,商業機構的資料使用者今天卻仍明知故犯,假若需要法例去訂明書寫對申請人個人資料私隱有影響之合約條款的字體尺碼,則未免貽笑大方了。

雅帆是保障個人資料私隱的支持者,對法例的成效感到失望,失望源自夢想,夢想就是透過人權獲得適當保障,香港可以名正言順成為現代文明的國際大都會。現在審時度勢,距離實現夢想恐怕越走越遠,各持份者是否需要面對事實 — 被打開的「一罐蠕蟲」(a can of worms),認真地自我檢討?

〔後記1:有關本題資料,可參閱網誌193〈資料保護與營商之道〉;網誌202〈資料保護與營商之道(三篇)〉;及網誌204〈私隱何價〉。2010年11月16日〕

〔後記2:讀者可參閱網誌138〈人權天賦?〉及網誌141〈人權的國情與共識〉兩篇有關人權的文章。2010年11月16日〕

備註1:本文部份資料輯錄或引述自–

(1) 「有線寬頻」(i-Cable) 「新聞有線人」網頁;

(2) 「香港電台電視部」(RTHK) 製作《鏗鏘集》網頁;

(3) 香港法律改革委員會1994年出版《有關保障個人資料的法律改革報告書》(Report on Reform of the Law Relating to the Protection of Personal Data) ;

(4) 香港政府於2009年8月發出《檢討《個人資料(私隱)條例》的諮詢文件》;及

(5) 立法會「資訊科技及廣播事務委員會」網頁,

謹此鳴謝。

備註2:本文不過匹夫之見,祇供讀者作茶餘飯後的談話資料,內容或有未詳盡處,讀者如欲知悉條例的詳細內容,請參閱《個人資料(私隱)條例》的條文。另外,有關八達通事件的發展,請留意私隱專員公署的調查報告。

這篇文章發表 於 星期六, 九月 18th, 2010 7:35 上午 在 國際視野 A Global View. 你可以回應這篇文章透過 RSS 2.0 feed. 你可以 留下回覆, 或 引用 從你的個人網站.

2 comments so far

Mr K M Lam
 1 

今天特首在他的施政報告(Policy Address)中,也有提及文章作者所極為關注的保障個人私穩問題。就此問題, 私穩專員將會完成有関報告並作出諮詢。

十月 13th, 2010 at 12:48 下午
雅帆
 2 

感謝KM Lam君的提示。

今天特首公佈《2010–2011施政報告》,就「加強保護個人資料」方面,在第147段有以下一段共109字(段落數字及標點符號除外)的陳述:

「147. 企業轉移客戶個人資料用作直接促銷引起社會關注,個人資料私隱專員已就事件作出調查,並將會就相關問題發出新指引。此外,我們建議在《個人資料(私隱)條例》內訂立更明確的規定,在短期內提出立法建議供公眾討論。我們會小心考慮立法建議對相關業界的影響。」

另外,在《施政綱領》〈第三章 關懷社會 投資社會〉臚列的「新措施」,包括以下共21字內容的一項:

「有關檢討《個人資料(私隱)條例》,就法例修訂提出建議。」

雅帆於網誌193和196兩篇文章中,根據實例,指出香港目前在保障個人資料私隱所面對的嚴峻問題,包括:「商業機構的奸狡欺詐、不擇手段;政策高官的傾斜商界、敷衍塞責;公署職員的資源匱乏、軟弱顢頇;及市民大衆的欠缺認知、漠視善忘。」未知各讀者會否同意這些深層次問題的存在?若答案是肯定的話,則《施政報告》第147段全文「109字」的陳述,及《施政綱領》第三章「21字」的新措施,又可否解決這些問題?

雅帆對上述的公佈持悲觀態度,認為祇是空泛言詞的虛應,未有確認問題,更乏深入詳述保障私隱策略取向;既欠缺強調「保障市民個人資料私隱的權利」,卻不忘重提「小心考慮立法建議對相關業界的影響」,政府仍然傾斜商界利益的心態,昭然若揭。

雅帆大膽斷言,這次《個人資料(私隱)條例》的修訂,在現任特首離任(即2012年7月1日)之前,仍然未能完成,若能於三年內通過並生效,已是樂觀估計。屆時政府的解釋可能是:

「由於種種原因,包括人事調動‥‥」、「修訂法例的延誤,責任不在政府‥‥」、「修訂法例的延誤,純屬個別事件‥‥」等等。

口講無憑,於《施政報告》公佈的今天,特立本文為據,各讀者不妨拭目以待。

十月 13th, 2010 at 11:25 下午

留下回覆

Name
Mail (will not be published)
URI
廻響