本年(2010年)10月18日,「個人資料私隱專員」(Privacy Commissioner for Personal Data;以下簡稱私隱專員) 發表《八達通日日賞計劃調查報告》(以下簡稱《調查報告》);負責私隱政策的政制及內地事務局局長,亦於同日發表《檢討〈個人資料(私隱)條例〉的公衆諮詢報告》(以下簡稱《諮詢報告》)。雅帆曾透過網誌193及196兩篇文章,剖析香港目前在保障個人資料私隱方面的執行情況,現就這兩個報告再補充一些個人觀點,讓讀者進一步思考。

與此同時,「金融管理局」(Hong Kong Monetary Authority) 也在上述日期發表「獨立審計師向金融管理專員呈交有關八達通卡有限公司的第59(2)條報告的中期結果」(Independent auditors submit to the Monetary Authority interim findings in the section 59(2) report on Octopus Cards Limited;以下簡稱《審計師中期報告》)。雅帆必須強調,金融管理局《審計師中期報告》的對象是「八達通卡有限公司」(OCL;簡稱八達通卡公司);而私隱專員《調查報告》的對象是「八達通獎賞有限公司」(ORL;簡稱八達通獎賞公司),雖然兩個被調查對象都是隸屬「八達通控股」旗下的其中兩間「子公司」,但兩者的「職能和活動」有所不同,而且在《個人資料(私隱)條例》(以下簡稱《私隱條例》) 的定義下,分別是兩個不同的「資料使用者」(data user),兩者的身分既不能混淆;兩份報告的調查對象和內容亦絕對不能混為一談,讀者在閱讀有關八達通事件的報導和評論時,務必小心分辨。

話說回來,私隱專員就八達通卡公司有否違反《私隱條例》第34(1)條,在《調查報告》第3.41段和5.9段有以下的陳述–

「3.41 倘資料當事人已向資料使用者要求停止使用其個人資料作直接促銷用途,但資料使用者仍然如此使用該等資料,將會違反條例第34(1)條。專員認為本案沒有證據顯示八達通獎賞公司曾作出如此行為。因此,八達通獎賞公司違反條例34(1)(ii) 條並不成立。」

「5.9 須知道目前條例的第34條規定在使用個人資料時提供『拒絕服務』的選擇;該條規定當資料使用者首次利用資料當事人的個人資料作直接促銷用途時,必須通知後者有關『拒絕服務』的選擇。與此相關的是條款與細則的第6.5(d)及6.9項,該條款說明會員有權要求八達通獎賞公司申請不要將其個人資料用作直接促銷用途,而且八達通獎賞公司亦需在不收費的情況下依從該要求。」

《私隱條例》第34(1)條對個人資料在直接促銷中的使用作出規管,條文如下–

「凡資料使用者–
(a) 已從任何來源(包括有關的資料當事人)取得個人資料;及
(b) 將該等資料用於直接促銷的目的,
則–
(i) 在該使用者於本條開始實施後首次如此使用該等資料時,他須告知該資料當事人謂如該資料當事人要求該使用者停止如此使用該等資料,該使用者須在不向該當事人收費的情況下照辦;
(ii) 如該當事人作此要求,該資料使用者須在不向該當事人收費的情況下停止如此使用該等資料。」

根據上述資料,私隱專員祇交代了八達通獎賞公司並沒有違反《私隱條例》第34(1)(ii)條,卻沒有直接詳細交代該公司有否違反《私隱條例》第34(1)(i)條。雅帆不禁要問:八達通獎賞公司透過「八達通日日賞登記表格」收集客戶個人資料時,在列出條款與細則的第6.5(d)及6.9項,用以「說明會員有權要求八達通獎賞公司申請不要將其個人資料用作直接促銷用途,而且八達通獎賞公司亦需在不收費的情況下依從該要求」,則此項行動是否被視為已符合《私隱條例》第34(1)(i)條的規定?

雅帆認為,若將「收集客戶個人資料之時」,與第34(1)(i)條所言的「首次如此使用個人資料(即首次作直接促銷用途)之時」作比較,兩者之間存在分別,不應將兩者合併在前者一次過將資訊通知資料當事人;更不應將後者為符合《私隱條例》第34(1)(i)條規定而必須告知資料當事人的資訊,及在當初收集客戶個人資料之時必須告知資料當事人的其他指定資訊,堆擠一塊,混淆視聽。從保障個人資料私隱的角度,最理想的做法當然是將後者的資訊分開,真正在首次使用(包括披露和轉移)個人資料作直接促銷用途之時告知資料當事人,並指明是為符合《私隱條例》第34(1)(i)條規定而告知資料當事人的資訊。

再進一步探究,當八達通獎賞公司將客戶的個人資料轉移與第三者之後,這些屬第三者的資料使用者,在首次使用該等個人資料作直接促銷用途之時,又有否為符合《私隱條例》第34(1)(i)條規定而告知資料當事人有關的資訊?若否,私隱專員曾否跟進?

雖然違反《私隱條例》附表一的「保障資料原則」並非犯罪,但為了提高保障個別重要項目,當局在立法之初,已特別在條例正文內加入一些涵蓋具體規定的條文,譬如第34條,要求資料使用者遵守。若有違反條例條文,即屬觸犯刑事罪行,一經定罪,可被判處適當級別的罰款及監禁。這些條文並非「無牙老虎」,卻必須依賴私隱專員為市民小心把關,嚴格執行。

接着討論最具爭議的是,私隱專員在裁定八達通獎賞公司及八達通控股已違反三項保障資料原則(簡稱三違反)後,竟然決定不會向八達通獎賞公司及八達通控股發出「執行通知」(enforcement notice),全城譁然。《調查報告》在下列幾段作出解釋–

「3.49 條例第65(2)條規定,任何作為另一人的代理人並獲該另一人授權(不論是明示或默示,亦不論是事前或事後授權)的人所作出的任何作為或所從事的任何行為,就條例而言須視作亦是由該另一人作出或從事的。考慮到八達通集團的企業管治及該計劃的歷史及發展,專員認為八達通獎賞公司屬八達通控股的代理人,並獲八達通控股授權營運該計劃及從事「資料業務」,理由如下:‥‥」

「3.50 依據上述的情況,憑藉條例65(2)條,八達通獎賞公司的有關作為應視作由八達通控股所作出的。因此,專員認為八達通控股違反保障資料第1(1)原則、第1(3)原則及第3原則。」

「4.5 根據條例第50(1)條,如專員認為八達通獎賞公司及八達通控股現正違反或已違反條例的相關規定,而違反情況令到違反行為將持續或重複發生是相當可能的,則專員可向八達通控股及八達通獎賞公司送達執行通知。換而言之,如八達通獎賞公司及八達通控股持續或重複違反條例的相關規定的機會不大,則專員不可發出執行通知。」

「4.8 八達通獎賞公司於2010年10月14日向專員簽署承諾書‥‥」

「4.9此外,八達通控股已於2010年10月13日通過決議,指令八達通獎賞公司須遵守該承諾書。」

「4.10 基於上文第4.5至4.9段所述的事項,專員認為八達通控股及八達通獎賞公司會持續或重複違反保障資料第1(1)原則、第1(3)原則及第3原則的機會不大,因此不會向八達通控股及八達通獎賞公司發出執行通知。」

為方便讀者參考《私隱條例》第50條有關發出「執行通知」的規定,現引述條文如下–

「(1) 凡專員在完成一項調查後認為有關資料使用者─
(a) 正在違反本條例下的規定;或
(b) 已違反本條例下的規定,而違反情況令到違反行為將持續或重複發生是相當可能的,
則專員可向有關資料使用者送達書面通知,所送達的通知須─
(i) 述明專員持上述意見;
(ii) 指明專員是就哪一規定而持上述意見及他持該意見的理由;
(iii) 指示該資料使用者在該通知所指明的期間(該期間不得在第(7)款所指明的上訴限期前完結)內,採取該通知所指明的步驟,以糾正導致送達該通知的違反或事宜(視屬何情況而定);及
(iv) 附同本條的文本一份。

(2) 在決定是否送達執行通知時,專員須考慮該通知所關乎的違反或事宜,是否已對或是否相當可能會對屬該違反或事宜(視屬何情況而定)所關乎的個人資料的資料當事人的個人,做成損害或困擾。

(3) 執行通知所指明的糾正該通知所關乎的違反或事宜的步驟─
(a) 可在任何程度上藉提述核准實務守則的形式擬訂;
(b) 的擬訂形式,可令有關資料使用者可從不同的糾正有關的違反或事宜(視屬何情況而定)的方式中作出選擇。

(4) 除第(5)款另有規定外,執行通知所指明的採取該通知所指明的步驟的限期不得在第(7)款所指明的上訴限期完結前屆滿,而如有該等上訴提出,在該上訴有決定或被撤回前不需採取該等步驟。

(5) 如專員認為因為特殊情況,執行通知所指明的步驟因事態緊急而應即採取─
(a) 他可在該通知中加入一項有該意思的陳述及他持該意見的理由;
(b) 凡專員如此加入該項陳述,第(4)款即不適用,但該通知不得規定須在該通知送達當日起計的7日期間屆滿前採取該等步驟。

(6) 專員可藉送達有關資料使用者的書面通知,撤銷執行通知。

(7) 有關資料使用者可在執行通知送達後14日內,向行政上訴委員會提出上訴反對該通知。

(8) 凡專員─
(a) 在調查完成前的任何時間就有關資料使用者持第(1)款所提述的意見;並
(b) 同時認為因為特殊情況,執行通知因事態緊急而應即送達有關資料使用者,
則即使該項調查未完成,他可如此送達該通知,而在該等情況下─
(i) 專員須在不損害須加入該通知任何其他事宜的原則下,在該通知中指明他持(b)段所提述的意見的理由;而
(ii) 本條例其他條文(包括本條)須據此解釋。」

私隱專員引用第50(1)(b)條的規定,考慮會或不會向已違反《私隱條例》規定的資料使用者發出執行通知,取決於私隱專員認為該資料使用者將持續或重複這些違反行為「是否相當可能」。若要驗證私隱專員作出此項「主觀的判斷」是否正確,則必須審視他認為八達通獎賞公司及八達通控股持續或重複違反條例相關規定的「機會不大」所引用「客觀的證據」。私隱專員解釋,這些客觀證據包括:八達通獎賞公司經已停止所有違反《私隱條例》的行為;並且已於2010年10月14日向私隱專員簽署一份承諾書,保證將遵守《私隱條例》;而八達通控股亦已於2010年10月13日通過決議,指令八達通獎賞公司須遵守該承諾書。

雅帆提供另外一些資料和觀察,給各讀者進一步思考。首先,根據香港金融管理局新聞稿資料,八達通卡公司管理層於2002年知會其董事局有關使用八達通卡持有人的個人資料的業務計劃發展,並在該公司開始為促銷活動與第三方共用八達通卡持有人的個人資料前,已尋求法律意見,以確保遵守適用法律及規例,其中包括《私隱條例》。簡單地說,八達通卡公司管理層及董事局絕非是在毫不知情或糊裡糊塗下誤墮法網,卻是在諮詢法律意見及明確商業決定之後的「有意識行為」。

根據傳媒報導,港鐵董事局於2010年7月30日舉行特別會議,討論八達通事件,會後港鐵董事局主席會見記者,向公衆認錯道歉,承認港鐵董事局過去獲悉八達通使用個人資料作市場推廣,強調董事局是在得到保證,「知道是在合法和合規則情況下得到個人資料……過去他們所做的都沒有犯法。」他又表示,直至目前為止,八達通出售客戶資料等行為,均無違反法例,在21世紀中,按法例利用個人資料作市場推廣,亦屬重要的商業活動,在本港以至海外均相當普遍,「不過處理事件若對消費者不公、有隱瞞,就要做改善。」換言之,港鐵董事局與八達通獎賞公司雖然認錯,但始終未肯承認違法。

另一方面,根據《審計師中期報告》透露,私隱專員自2004年至今已接獲15宗涉及八達通的投訴,其中3宗仍在處理。另外,根據私隱專員的回應,亦確認從2004年至今,共完成處理12宗涉及八達通集團的個案,當中9宗與八達通日日賞計劃無關;而其他3宗則與八達通日日賞計劃有關。

《審計師中期報告》的資料進一步顯示,2004年的一宗投訴,是不滿八達通與保險公司合辦的抽獎,竟要求收集整個身分證號碼以作推銷保險之用。2007年的一宗投訴,則是不滿保險公司未正式成為八達通商務伙伴,已借調人手到八達通直銷保險產品。當年私隱專員得悉八達通會讓步,包括不收集整個身分證號碼,及安排被投訴保險公司正式成為商務伙伴後,即決定終止調查,不予追究,沒有深入檢視八達通出售或轉移個人資料的問題。2009年完成調查的個案,則關於保險促銷員處理八達通客戶資料,被質疑私隱欠保障,私隱專員照樣不追究。

從上述這些實例,可證明八達通過往雖然屢次遭受客戶投訴及私隱專員調查涉嫌違反《私隱條例》的行為,但在每次作出補救措施後,卻仍然持續作出涉嫌違反《私隱條例》的行為。由此推論,八達通獎賞公司會否從此一反慣常,洗心革面,將來停止再違反《私隱條例》的行為?委實令人存疑。

當私隱專員公開發表《調查報告》後,八達通獎賞公司召開記者會,聲稱會全數接納私隱專員的建議。但據傳媒報導,八達通獎賞公司堅持沒有違法,並不同意私隱專員的「三違反」裁決,認為出售個人資料並無違反當時《私隱條例》及指引,加上為免被全港用戶追討巨額賠償,八達通考慮透過法律行動抗辯到底。其非執行主席指出,由2004年至今,私隱專員曾對八達通進行了12次調查,八達通從沒遭受私隱專員裁定違反《私隱條例》,並接納私隱專員全部建議;又強調八達通反對《調查報告》部份內容,但礙於有客戶入稟向八達通追討賠償,事件已進入司法程序,因而沒有闡述反對理由。由此可見,在私隱專員公開發表《調查報告》裁定八達通「三違反」後,八達通獎賞公司和八達通控股仍然堅持沒有違法,心底裏是絕不服氣。

根據上述觀察,八達通獎賞公司和八達通控股就遵守《私隱條例》而言,其多年繼續「屢次涉嫌違法」的「惡劣紀錄」;與及一直堅持並公開表示「從來沒有違法」的「不忿態度」;兼且目前尚有三宗涉嫌違法投訴有待澄清,實在難免令人質疑,八達通獎賞公司和八達通控股將來會否持續或重複這些違反《私隱條例》行為?

其次,除了上述第50(1)(b)條的考慮外,根據第50(2)條的規定,在決定是否送達執行通知時,私隱專員必須考慮該違反或事宜是否已對或是否相當可能會對資料當事人做成損害或困擾。這次八達通事件牽涉超過兩百萬市民的個人資料,當中包括出售和涉嫌欺詐手法,全城震怒,相信已對數量龐大的相關市民做成損害或困擾。

在此情況下,未知私隱專員在決定不會向八達通獎賞公司和八達通控股發出執行通知時,曾否考慮第50(2)條的規定?不引用第50(2)條而發出執行通知的理據又是甚麼?當考慮第50(1)(b)條與第50(2)條的結果有所衝突時,應該如何作最後決定?假若私隱專員認為第50(1)(b)條規定與第50(2)條規定兩者之間的制衡並不清晰,或是認為前者應該可以凌駕後者,則私隱專員會否考慮在這次檢討《私隱條例》時,加以釐清和修改?雅帆認為,祗要符合第50(1)(b)條規定或第50(2)條規定的任何一項,已構成私隱專員可向違反保障資料原則的資料使用者發出執行通知。

其三,有關八達通獎賞公司向私隱專員簽署一份承諾書,其內容包括:

「(a) 在兩個月內徹底刪除及銷毀過量收集得來的個人資料(香港身分證號碼 / 護照號碼 / 出生證明書號碼及出生年月資料),由獨立專業第三者所發出的證書確認。

(b) 在兩個月內徹底刪除及銷毀為獲得金錢收益而向5間夥伴商戶轉移的客戶個人資料,如該等資料仍未被刪除的話。

(c) 重新設計收集個人資料聲明的描述和展示,以符合保障資料第1(3)原則的規定,讓一般正常視力的人士可易於細讀。

(d) 資料承讓人的類別應按其獨特功能分類,讓人以合理的程度了解個人資料會被移轉予甚麼人;及

(e) 如現有的客戶的個人資料會為金錢收益被轉移予該計劃下的參與商戶,必須取得客戶的明確及自願同意。」

雅帆對簽署這份承諾書產生幾個疑問:究竟是那一方主動提出簽署這份承諾書?八達通獎賞公司抑或私隱專員?若是由前者提出,其原因為何?莫非對自己將來停止再違反《私隱條例》的行為沒有信心?大概沒有一個商業機構會主動選擇示人以弱吧?若是由後者提出,其原因為何?莫非對八達通獎賞公司自動停止將來再違反《私隱條例》的行為沒有信心?若然如此,則何以私隱專員會引用第50(1)(b)條決定不向八達通獎賞公司發出執行通知,而提出改以簽署承諾書取代?現在已簽署承諾書的內容,是否就是假若當初選擇發出執行通知所應該包含的主要內容?又私隱專員決定提出或接納簽署這份承諾書的法理依據是甚麽?假若由私隱專員主動提出簽署這份承諾書的決定,將來如需要面對行政上訴委員會 (Administrative Appeals Board) 申訴或司法覆核 (judicial review) 的挑戰,則私隱專員的理據能否站得住腳?

其四,根據傳媒報導,在私隱專員發表《調查報告》的記者會上,陪同出席的公署高級職員回答提問時補充說,在沒有足夠理據下發出執行通知,或遭受法律挑戰;再者,一旦八達通違反承諾書內容,公署可即時發出執行通知及調查。

雅帆認為,私隱專員無須顧慮可能遭受法律挑戰而帶來訴訟上時間和金錢的虛耗,因此拒絕發出執行通知。因為根據《私隱條例》第50(7)條,假若八達通獎賞公司和八達通控股不滿私隱專員向其發出執行通知,可在執行通知送達後14日內,向行政上訴委員會提出上訴反對該通知。這項上訴安排,可把時間和金錢的虛耗大幅降低。同樣地,根據《私隱條例》第47(4)條,假若這次八達通事件的苦主,譬如現正透過小額錢債審裁處向八達通獎賞公司追討賠償的苦主,於私隱專員的調查裁定「三違反」後,不滿其決定不向八達通獎賞公司及八達通控股發出執行通知,則可考慮向行政上訴委員會提出上訴,反對私隱專員作出該項決定。據此,私隱專員在決定不發出執行通知之前,曾否考慮任何一方都可能會因為不滿結果,而向行政上訴委員會提出上訴?誠然,任何一方在行政上訴委員會的裁決後,還可再考慮司法覆核。

其五,港鐵是擁有八達通控股超過半數股權的主要股東,而政府三名高級官員,包括:運輸及房屋局局長;財經事務及庫務局局長;及運輸署署長,均是港鐵董事局成員,可在董事局上投票。假若私隱專員決定向八達通控股發出執行通知,則必須包括向身為港鐵董事局成員的三位政府高官發出執行通知,這是極不名譽事件,勢必轟動國際。私隱專員是否因為避免政府尷尬,而拒絕就八達通事件發出執行通知?議員和輿論應當繼續追問這個疑惑,私隱專員也必須給市民大衆一個合理的說法。

綜合來說,私隱專員拒絕就八達通事件發出執行通知,既是錯漏牽強、難以服衆;更是後患無窮、影響深遠。首先,八達通獎賞公司及八達通控股日後可以肆無忌憚,繼續違反保障資料原則;因為將來下次若被裁定違反,還可接受一次發出執行通知機會,再下次違反才是犯罪行為。再者,其他資料使用者若有違反保障資料原則,可以援引八達通事件作先例,立即宣稱停止一切違法行為,並主動要求向私隱專員簽署一份類似今次事件的承諾書,以取代執行通知。若然私隱專員拒絕承諾書安排而代以發出執行通知,則該資料使用者可以憑藉八達通事件的案例,向行政上訴委員會提出上訴,相信勝訴機會不弱。

另外,私隱專員在2010年10月18日發表《調查報告》的新聞稿第11段清楚指出:

「根據八達通獎賞公司與信諾的一項安排,八達通獎賞公司會把該計劃的會員名單交予信諾,而信諾的電話銷售員會致電這些會員,以八達通獎賞公司的名義售賣信諾的保險產品。這樣,該計劃的會員收到這些推廣電話時,並不知悉他們的個人資料其實已轉移給信諾,也不知悉他們事實上正與信諾的員工進行交易。此安排令會員不能適時拒絕八達通獎賞公司轉移資料,及拒絕信諾於直接促銷過程中進一步收集其個人資料。事實上,該計劃的會員已受騙。」

私隱專員在記者會上補充,該計劃是涉嫌欺詐行為。按照香港政府公務員內部行政指引規定,當公務人員在日常執行職務時遭遇嫌疑犯罪行為,絕對不能猶疑,必須立刻向執法機構舉報,否則等同犯罪。譬如消防員在例行檢查樓宇發現毒品,必然要向警方報告跟進檢控。雖然私隱專員並非公務人員,不受有關行政指令約束,但就是為履行公職人員或良好公民責任,亦理應將涉嫌欺詐行為的資料,向警察商業罪案調查課正式舉報,結果如何,警方也要給公衆一個交代。絕對不能如現在的做法,所有牽涉單位均沒有回應,敷衍塞責,不了了之。

從《調查報告》到《檢討報告》,雅帆要談談後者的一些重點。話說去年發出檢討《私隱條例》的《諮詢文件》,在罪行及制裁標題之下,共有六項刑事化或加重罰則的建議(見網誌193),《檢討報告》現支持推行其中四項。其餘兩項「不擬推行的建議」牽涉違反保障資料原則,包括:「第41建議」— 把違反保障資料原則訂為罪行;及「第42建議」— 就嚴重違反保障資料原則處以罰款。

其實當年立法之時,當局將違反保障資料原則訂為「非刑事化」,旨在避免普羅市民因錯誤理解深奧難明的條例內容,而觸犯刑事罪行;故此當年港英政府主事的外籍官員,效法西方文明國家保護資料法例的「網開一面」安排,期望大衆自願遵守,這是西方民情所繫。然而,西方文明國家的有效法例,落籍中國人社會,卻提供鑽空子的罅隙,變成漏洞百出,彷如「雙刅寶劍」的使用不當,既可武功全廢;亦能傷及無辜。因此,雅帆對保留違反保障資料原則非刑事化的建議,持開放態度;但若然選擇如此方向,則在正文之內設置具體性並包含刑責罪罰的條文規定,以增加保障個別重要項目要求,譬如非法收集或出售個人資料等,也就變成不可或缺的補救修訂。

相反地,《檢討報告》「擬推行的建議」中,「第22建議」— 為遵從其他條例而拒絕依從查閱資料要求,雅帆則認為絕對不能苟同。話說此建議即是去年《諮詢文件》的「建議16」,當時祇被列為徵詢意見的其他建議,現在《檢討報告》提昇為「擬推行的建議」,其解釋如下–

「3.23.2 ‥‥但若該資料使用者持有在第20條及第28(5)條所載的各項理由,則可以拒絕依從資料要求。」

「3.23.3 然而,這些拒絕理由並沒有包括資料使用者依從法定的保密規定或不披露資料的法定權利的情況。因此,受到保密法定責任約束的資料使用者會面臨兩難的局面,一是觸犯私隱條例查閱資料的條文,一是觸犯另一條相關的保密條文。而另一方面,私隱專員如信納資料使用者以該項保密規定或權利作為拒絕查閱資料要求的理由,他的決定亦可能被質疑。」

「3.23.4 本地不少法例有規定保密法定責任或不披露資料責任的條文。為了處理上述問題,諮詢文件建議在私隱條例第20(3)條訂明,資料使用者若根據任何條例有責任或有權不披露個人資料,可以此為理由拒絕依從查閱資料要求。」(註:例如,性別歧視條例(第480章)第74條和申訴專員條例(第397章)第15條。)

「3.23.9 接獲的意見普遍支持落實此建議。我們會參考本地的相關法例及海外的個人資料私隱法例,對私隱條例作出相應的修訂,讓資料使用者當遇有其他法定要求不得披露資料時,毋需依從有關查閱個人資料要求的規定。」

《私隱條例》其中的一個要旨,就是必須維持個人資料在使用時的準確性;因為準確的個人資料,是對該個人採取適當並具影響性行動的重要基石;而最有效的措施去確保資料準確,卻是向最瞭解甚麼是其個人正確資料的當事人,賦予其查閱資料和改正錯誤資料的權利,假若輕易將此項個人權利剝奪,《私隱條例》也就變成形同虛設。然而,為了照顧重大公衆利益,包括保安、罪行、健康、新聞自由等,當局在立法時深思熟慮,已在條例第VIII部份訂明一些狹窄而具體的豁免條款 (narrow and specific exemption provisions),去平衡個人權利和公衆利益,現在絕對不能輕言放寬,否則水閘打開,一瀉千里,後患無窮。

再者,雅帆認為,有關拒絕查閱及改正個人資料要求,在第20條及第28(5)條所載的各項理由,均屬基於「執行困難或牽涉他人資料的拒絕理由」,譬如提出要求者未能提供足夠資料去確定其屬於資料當事人的個人身份,或是未有繳付費用。相反地,在第VIII部份的豁免條款卻屬基於「公衆利益的拒絕理由」,兩者不能混淆。當局目前建議修訂的拒絕理由,應屬狹窄、具體、審查嚴格的豁免條款之後者,而非前者。

其實當局現今所謂兩難局面,祇不過因為回歸之後,取消了《私隱條例》之前所訂定「凌駕性條文」(overriding provision) — 即條例第3(2)條 — 的自食惡果(詳見網誌193)。再者,當局現時這項建議,明顯涉嫌偏幫行政機構工作方便,人道是:「司馬昭之心,路人皆知。」

雅帆也談談商業機構在應付《私隱條例》要求時的一般心態。話說早前一名市民向某民主派立法會議員投訴一間銀行的處理個人資料方法。該銀行有關樓宇轉按條款指明,借款人授權銀行可將其「個人資料及有關貸款的資料」轉移給境內或境外的「任何服務供應商」,以便他們「代表貸款人向客戶提供任何服務」。事主擔心個人資料會如早前八達通般轉移予第三者,要求銀行刪除該項不合理條款。當銀行職員諮詢分行經理後,表示合約內容不能修改,事主遂拒簽離開。議員助理其後發現其他銀行亦有類似的不合理條款。

根據個案顯示,銀行在收集客戶個人資料時,告知客戶「向客戶提供任何服務」的使用資料目的。銀行目前正在「提供任何服務」?簡直是令人髮指的騙人謊言、天大笑話,肯定超越銀行的「職能和活動」範圍,是不合法的收集客戶個人資料。條款內容明顯已超出單純為借貸目的而需要處理客戶資料,揭露銀行運用不公平策略,將個人資料轉移予第三者作「任何其他商業用途」。然而,客戶提出刪除相關條款,卻遭拒絕,屬不合理的待遇,銀行理應主動修改條款,公平保障客戶權益。除了銀行自律外,有關監管機構,包括政府決策局、金融管理局、私隱專員和香港銀行公會,亦責無旁貸。

本文提出許多疑問,私隱專員和當局尚欠全港市民一個合情合理的說法。從本文討論觀點,再次反覆驗證雅帆曾在網誌193及196強調,《私隱條例》執行13年失效的原因,包括:商業機構的奸狡欺詐、不擇手段;政策高官的傾斜商界、敷衍塞責;公署職員的資源匱乏、軟弱顢頇。至於市民大衆是否欠缺認知、漠視善忘,則留待讀者親自驗證和反思。無論如何,若要力挽狂瀾於既倒,所有持份者 — 包括市民大衆、機構主管、政策高官和公署職員 — 的正面取態、全力支持和克盡己任,缺一不可。

或許現在每位香港人應該撫心自問,是否確實需要個人資料的私隱權利?可曾真正為保障私隱權利盡一分力?每當耳聞目睹香港人誇誇其詞,不斷標榜香港是亞洲區的國際大都會,重複強調要與世界接軌的同時,不妨躬身自問,香港人可曾確切認同現今文明社會標準的普世價值?

〔後記1:有關本題資料,可參閱網誌193〈資料保護與營商之道〉;網誌196〈資料保護與營商之道(續篇)〉;及網誌204〈私隱何價〉。2010年11月16日〕

〔後記2:讀者可參閱網誌138〈人權天賦?〉及網誌141〈人權的國情與共識〉兩篇有關人權的文章。2010年11月16日〕

備註1:本文部份資料,錄述自–
(1) 個人資料私隱專員發表的《八達通日日賞計劃調查報告》;
(2) 政制及內地事務局局長發表的《檢討〈個人資料(私隱)條例〉的公衆諮詢報告》;及
(3) 金融管理局發表的「獨立審計師向金融管理專員呈交有關八達通卡有限公司的第59(2)條報告的中期結果」,
特此鳴謝。

備註2:本文不過匹夫之見,祇供讀者作茶餘飯後的談話資料,內容或有未詳盡處,讀者如欲知悉條例的詳細內容,請參閱《個人資料(私隱)條例》的條文。

這篇文章發表 於 星期一, 十一月 1st, 2010 12:38 上午 在 國際視野 A Global View. 你可以回應這篇文章透過 RSS 2.0 feed. 你可以 留下回覆, 或 引用 從你的個人網站.

留下回覆

Name
Mail (will not be published)
URI
廻響