謝連忠律師議事論法網

非法掠奪個人資料

互聯網是一個原始森林，個人資料得不到適當的保護，會令詐騙事情增多，極端的資料詐騙辦法，是罪犯在網上發送一些難以追查發用人身份的電子郵件，附帶一些虛假信息，誘使收件人打開以zip、exe或scr作檔案延伸的文件，這些檔案實際上是特洛伊木馬(trojan horse)病毒，一旦打開，收件人的個人賬戶、密碼便會被自動傳送到郵件的發送人那裡。此外，還有不法商人透過搭線竊聽(wiretapping)、使用竊聽器竊聽(bugging)和擊破保案系統等方式非法取用網頁伺服器，從而非發掠奪寄存的個人資料，例如是信用咭賬戶資料。

針對這種盜取個人資料的犯罪行為，除加強電腦軟硬件的安全和保安之外，還必須教導用戶如果提高警覺，慎防個人資料被罪犯非法盜取。

濫發電子郵件(spamming)

濫發電郵是指未經收件人事先要求或同意而通過互聯網電訊系統發出大量電郵訊息。這類電郵訊息大多數是一些推銷貨品或服務的廣告宣傳品，由於往往令收件人感到厭惡，因而又叫垃圾郵件(junk mails)，形式亦包括新聞組(usenet newsgroup)的文章。現時，香港並沒有法例專門禁止濫發電郵的行為，特區政府管制濫發電郵，是透過互聯網商的自律。由於電郵用戶必須經過註冊手續，才可以取得自己的電郵戶口，從而發放電郵給其他人。因此，用戶必須受互聯網商(Internet Service Provider，簡稱ISP)或網站(如雅虎香港或新浪的免費電子郵箱服務)的使用條款或服務合約約束，當中含有禁止濫發電郵的條文，條文規範濫發電郵者被發現進行濫發電郵的行為，便會遭互聯網商的警告或甚至在無須事先通知的情況下被暫停或即時終止服務，條文的嚴厲程度按個別互聯網商而有所不同。

為了這項自律措施更具成效，香港的互聯網服務供應商(Hong Kong Internet Service Provider Association)於2000年2月8日採納了一份名為「反濫發電郵」的實務守則，實務守則就防止濫發電郵提供四項措施：

1. 以合約條件方式禁止電郵用戶濫發電郵；

2. 透過電郵伺服器的設定，防止濫發電郵的行為，例如不應容許電郵伺服器轉送來自第三方的電郵；

3. 行政措施，須擬定關於處理濫發電郵的戶口，從而跟進有關的投訴和採取對付行動；

4. 由協會設立一個標記機制，告知網民那些團體遵守該實務守則。

私隱條例只保障資料私隱，不保障個人私隱，在東周刊一案中說得相當清楚。事緣東周刊偷拍一位在街上行走的女士照片，又在未有知會或取得相中女士同意下，將照片刊登在東周刊報導內容之內，並且說三道四地指相中女士衣著品味差勁。事件被投訴至個人資料私隱專員那裡，經調查後，專員指東周刊違反私隱條例第一條資料保護原則，沒有公平地向相片女士搜集個人資料。

在東周刊拍照案件中，上訴法院認為私隱專員的定決錯誤。並且對類似的偷拍事情下了十分重要的裁決。上訴法院指出，東周刊的行為並不屬於收集個人資料，因此條例中的第一條資料保護原則並不適用，法院並且特別指明，條例所保障的只限於資料私隱權(information privacy)，不是個人私隱權(personal privacy)，東周刊偷拍女士的事件屬個人私隱性質，而私隱條例只保障資料私隱。

在防止個人資料受到濫用的事情上，私隱專員具備舉足輕重的位置，判決被法院裁訂為錯誤，除了打擊私隱專員的威信之外，還打擊了專員的信心。實情上，私隱條例在不少的關鍵內容上具備模糊或灰色地帶，在六項個人資料保護原則，用了「必需」(necessary)、「不超乎適度」(excessive)、「公平」(fair)或「合理」(reasonable)的字眼。固然，這些字眼是必須的，因為現實處境紛芸眾多，各有不同，是否「必要」、「適度」、「公平」、「合理」與否，極之處境性(contextual)。但這亦令法例弊病叢生，令人難以找到準則的所在。例如是「必要」，在電子商貿的交易活動中，特別是商業到消費者(B to C)的模式中，電子行銷(electronic marketing)或個別行銷(personal marketing)，甚為重要，網上商人收集各類的個人資料，如姓名、出生年月日、性別、收入、職業、教育程度、婚姻狀況、以至子女數目和年齡，這些資料對商業行銷都具備或多或少的關連。那麼，倘若網上商人在其個人資料收集聲明中指出，出生年月日是方便網上商人向客戶提供生日時的優惠或獎賞，就可以被稱得上是合理嗎?只要向資料當事人說得出用途和目的，便算得上是「合理」和有「必要」嗎?然而，資料保障原則同時間規定收集資料不應「超乎適度」(excessive)，「合理」和「有需要」會否等如不「超乎適度」呢?如何恰當收集，使用和處理個人資料，並不是一個靠常識便可處理的問題。要取得合適而可靠的答案，是要對各項原則作相當充份的掌握，並能夠加以分析。這顯然並不是一般中小企業可以辦得到的。

但是，私隱條例適用於任何的公私營機構和政府部門，企業即使是細小得只得三、四人，並無任何豁免，或受到較為寬鬆的處理。即使是大企業，亦未必能夠在處理個人資料上表現得可取和合理。

私隱條例訂下的六個保障個人資料的私隱原則，實際上是法律，違反原則即屬觸犯法律。觸犯有關的法律產生兩種後果，其一是刑事，個人資料私隱專員可以向犯事者發其履行通知(enforcement notice)，在履行通知期限屆滿而仍未有按要求辦事，私隱專員便可以向資料使用者(data user)提出檢控，專員的檢控屬於刑事性質，資料使用者經定罪，罰款的最高額是五萬元，監禁則最高兩年。

以下是該六個保障個人資料的私隱原則的簡單敘述：-

第1原則
收集資料的目的及方式訂明須以合法及公平的方式收集個人資料，以及列明資料使用者在向資料當事人收集個人資料時，應向該當事人提供的資料 。

第2原則
個人資料的準確性及保留期間訂明所保存的個人資料必須是準確和最新的資料，而保存期間不得超過實際需要。

第3原則
個人資料的使用訂明除非獲得資料當事人同意，否則個人資料只可用於在收集資料時所述明的用途或與其直接有關的用途。

第4原則
個人資料的保安訂明須採取適當保安措施保障個人資料﹝包括其存在形式令查閱或處理並非切實可行的資料﹞。

第5原則
資訊須在一般情況下可提供訂明資料使用者須公開所持有的個人資料類別，以及該等個人資料所作的主要用途。

第6原則
查閱個人資料訂明資料當事人有權查閱及改正其個人資料。