網絡安全隱患(上):私隱與人權的距離
從數碼港到佳士德、香港專業進修學校,香港在過去半年幾乎每周都有機構發生大規模資訊外洩事故。個人資料私隱專員鍾麗玲向媒體表示,2024年上半年私隱公署共接獲97宗資料外洩事故通報(註),並認為數字在下半年會持續上升至破200宗的水平,較前年105宗翻倍。與此同時,私隱公署亦於2024的上半年收到近600宗有關個人資料被套取作詐騙用途的查詢,包括來歷不明的電話等。在科技急速發展、智能電話不離手的年代,網絡資訊安全似乎成為保障個人私隱的一根軟肋。聯合國對人權及個人私隱權的理解亦隨之而更新,將網絡的個人私隱權納入國際人權的框架底下。
網絡私隱權與國際人權標準
2013年12月,聯合國大會通過第68/167號決議,題為「數碼時代的隱私權」。這是聯合國首次特別針對網絡治理,以及個人數碼時代的私隱權納入國際人權的標準框架之中。決議明確提到,在《公民權利和政治權利國際公約》第17條有關私隱權的框架下,科技的急速發展使世界各地的人都能使用新的通訊技術,但同時亦加強了政府、公司和個人進行監控、截取和收集數據的能力,而這有可能違反或侵害人權。私隱權,亦即任何人的私生活、家庭、住宅或通信不受任意或非法干涉,而且享有法律保護免遭干涉的權利。聯合國大會確認行使私隱權對落實言論自由尤其重要,亦是民主社會的基礎之一。大會並強調,任何非法或任意的監控(或截取通信)以及收集個人數據都是高度侵入性的行為,侵犯了隱私權和表達自由權,背離了民主社會信念。
聯合國人權理事會於2015年建基於上述決議,成立了隱私權問題特別報告員,主要任務之一為調查在促進和保障個人隱私權方面可能存在的障礙,並確認國際間的最佳做法。在設立此一特別程序時,人權理事會指出,需要以國際人權法為基礎,進一步分析在數位世代下加強保障個人私隱的問題,並且需要確立程序性的保障,國內亦需設立有效的監督和補救機制,更需要審查監控的做法是否符合必要性和相稱性的原則。理事會提醒,元數據(meta-data)在收集後會洩露個人資訊,例如個人的喜好、行為及身分特徵。而由於數位世代的私隱權牽涉各方面的參與,不單單是政府,工商企業亦有尊重相關人權概念的責任。
香港的網絡安全隱患?
目前香港的個人資料受法例第486章《個人資料 (私隱)條例》監管,條例於2021年曾經進行修訂,並加入打擊侵犯個人資料私隱的「起底」行為,將之列為刑事罪行,並賦權私隱專員就有關「起底」罪行發出停止披露通知,以及就涉嫌「起底」個案進行刑事調查及檢控。但針對大規模的資訊外洩行為、以竊取個人資訊為目的的黑客行為,又或是企業的資訊安全則未有更明確的指引。而《條例》第33條訂明禁止將個人資料轉移至香港以外地方的條文,亦遲遲未實施。
事實上,香港近年有多家大型機構出現懷疑資料外洩問題,當中不乏政府部門,其中規模較大的,有數碼港電腦系統被黑客入侵事件。受影響人士的個人資料,包括身分證號碼、受僱資訊、醫療報告等等,悉數被上載至俗稱「暗網」的dark web出售。經調查後發現,超過一萬人的個人資料遭外洩,當中近 8,000 人是僱傭有關的人士;更有超過保留期限的求職者及離職僱員的個人資料仍被保留並遭外洩。
私隱專員鍾麗玲在接受香港媒體訪問指出,上半年私隱專員公署共接獲97宗資料外洩事故,涉事公私營機構比例為三比七,而第二季數字更較第一季上升七成。市民就懷疑被盜取個人資料而向公署的查詢,2024年上半年有大約600宗,已追近去年全年793宗、前年707宗的水平。
保障私隱人人有責
全球資料外洩均見升勢,私隱專員鍾麗玲形容是「自然現象」。但聯合國人權理事會認為,在現今科技發展的背景下,個人數據的主體處於無助的狀態,因為他們對第三方如何使用已提交的信息了解有限,亦無法監測數據被收集後會如何被使用。因此,地方政府應該直接發揮積極作用,建立一個能夠在數位世代保障個人資訊的制度。這個制度須包括行政及司法措施,亦應當設有補救辦法,使受損害的人能夠獲得適當的補償。
在未有適當的制度保障下,我們應該對在網絡上提供自己的個人資訊保持更高的警覺。在數位通訊及資訊存取上,我們可以多使用如Signal、Proton Drive等採用端到端加密(end-to-end encryption)及零知識(zero-knowledge)等技術的軟件,以保障資訊的安全。我們也應該建立使用VPN的習慣,阻隔IP地址等元數據被第三方單位獲取的機會。設置高強度的密碼保護網絡帳戶以及流動裝置和使用雙重身分驗證(2-factor authentication)等亦是常用且有效的做法。
筆者下回將探討不同國家對保障隱私權的措施和政策。
註:私隱專員公署網站就資料外洩事故通報的解釋:「資料外洩事故一般指資料使用者持有的個人資料懷疑外洩,令此等資料承受遺失或未獲准許的或意外的查閱、處理、刪除或使用的風險。雖然法例沒有規定資料使用者就他們持有的個人資料的外洩事故通知私隱專員公署,但私隱專員公署建議資料使用者作出通報,以妥善處理有關事故。」(https://www.pcpd.org.hk/tc_chi/enforcement/data_breach_notification/dbn.html )
( 圖 : 123rf )
