舊文<<擔心個人資料被人賣豬仔? 教你分析手機廠商私隱保護水平>>分享了如何分析一家手機廠商私隱保護水平,以及消費者擁有的私隱權利,從中加深對歐盟通用資料保護規則 (General Data Protection Regulation,下稱 GDPR) 的認識。
最近一套電影給十九歲的我引起軒然大波,當中引起社會對個人私隱的討論,例如同意書、撤回同意、未成年人士私隱等法律概念。本文旨在論述不同私隱法律的相關要求,但不會分析及評論電影事件。
聲明: 本文純屬學術討論和知識交流,絕不構成任何法律意見或建議。所有內容只供參考,ManHungTech 並不確保所有內容的準確性,如有錯漏,還望大家不吝指教。
同意,不是同意這麼簡單
在歐盟 GDPR 規定任何收集和處理個人資料的活動,必須具備至少一項法律依據,出師有名,否則任何涉及個人資料的活動有機會違反法律。GDPR 就此提供六項依據,當中最常用非同意 (Consent) 莫屬,由資料當事人親自同意資料處理者使用前者個人資料於指定用途,原文如下:
the data subject has given consent to the processing of his or her personal data for one or more specific purposes (Art.6(1)(a))
在自願及知情的情況下作出清楚、明確、不含糊的明示方可構成符合 GDPR 的有效同意:
freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her. (Art.4(11))
與此同時,GDPR 進一步就資料當時人作出的同意訂立細節,強調必須在自願狀況下同意,尤其是雙方勢力不對等之情況,詳見 Recital 43 一節。
另外,中國個人訊息保護法同樣要求至少一項法律基礎作為合法處理個人資料之根據,同意正是其一,該法進一步定義同意為在充分知情的前提下自願和明確作出的表示,否則無效。
至於香港,現有法律規管比上述司法管轄區寬鬆,除非牽涉直接促銷 (Direct Marketing),個人資料(私隱)條例和六項原則未有強制要求事先取得資料當事人的明示同意。
第一原則僅規定「採取所有切實可行的步驟」「以明確或暗喻方式」告知「有責任提供該資料抑或是可自願提供該資料」和「若不提供該資料便會承受的後果」,並且明確告知「該資料將會用於甚麼目的 (須一般地或具體地說明該等目的)」 及「該資料可能移轉予甚麼類別的人」。以上全屬資料處理者的單向通知,未有要求獲得資料當事人許可。
簡單來說,香港現行法律未有就直接促銷以外用途要求獲取明確同意,只需根據條文要求作出相應說明便可。話雖如此,Man 一向贊成多走一步,以書面形式取得當事人允許,留下文字紀錄作日後依據。
敏感個人資料
個人資料有等級之分,指定資料類別因其敏感性質被定性為特殊類型,需要按照特定要求收集及處理。歐盟 GDPR 清晰界定下列個人資料屬於特別類別 (Special Categories of Personal Data):
- personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs
- trade-union membership
- genetic data, biometric data processed solely to identify a human being
- health-related data
- data concerning a person’s sex life or sexual orientation
假設歐盟 GDPR 適用,當計畫收集個人資訊時,應小心審視計畫有否涉及以上類別。GDPR 制定特別要求規管涉及上述個人資料類別之收集及處理,例如取得獨立同意,受篇幅所限,日後有機會再詳細講述有關要求。順帶一提,GDPR 原文從來沒有提及敏感個人資料 (Sensitive Personal Data) 一詞,只是坊間網站自行製造的別稱而已。
中國個人信息保護法設有敏感個人信息類別,意指一旦洩漏或者非法使用,容易導致人格尊嚴受到侵害或者人身、財產安全受到嚴重危害之個人資訊,包括但不限於生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡,以及未滿十四周歲未成年人的個人資料。注意條文只提供常見例子,實際上有機會包含其他類型個人資訊,所以上述定義具備重要指導作用。
有關中國個人信息保護法就此等個人資料所制定的法律要求,則留待日後深入討論,當然視乎本文反應如何。
未成年人士的私隱
在給十九歲的我電影事件當中,社會不少聲音關注收集未成年人士資訊的程序及監護人的角色,尤其是未成年人士能否給予有效同意。無可否認,現有香港私隱法例未有針對處理未成年人士私隱提供詳細法律規定,顯然存在不足。
歐盟 GDPR 界定十六歲以下人士為未成年,並且規定資訊處理者必須向其監護人取得許可,亦應盡可行辦法驗證監護人身分,換言之未成年人士自行給予的同意並不具任何法律效力,不論知情或自願與否。
中國個人信息保護法同樣對未成年人個人資訊制定嚴格要求,簡列如下:
- 未成年人定義為十四歲以下
- 歸入敏感個人信息,必須跟隨有關規定 (在此不贅)
- 個人訊息處理者必須取得父母或監護人同意
- 制定專門個人信息處理規則
不可用於新目的,更改用途前必須取得同意
個人資訊處理之目的與用途必須嚴格限於獲取同意 (香港法律要求為告知,見上文) 時所表明的範圍,絕不能運用於原定範圍以外的用途。原因在於當事人基於原先指定處理活動範圍給予許可,事實上未有授權用於其他目的或用途,換言之日後所有資料處理活動受到明確框限。
舉個例子,求職表格的資訊通常僅限於招聘目的,除非另有訂明,否則公司日後不能向過往應徵者發送產品推銷電郵,因為市場推廣與招聘完全無關。
假設資料處理者在獲取同意後改變主意,打算把過往取得的個人資料用於新目的、新用途,就必須先向資料當事人清楚說明新目的、新用途,然後向對方問取明確同意 (俗稱 Fresh Consent),當事人有權拒絕。然而,沒有回覆絕不構成默認,而默認本身亦不符合明確同意之要求。
有趣地,上文提及香港現行私隱法例沒有要求在收集和處理個人資料前徵得當時人同意,反而要求更改使用目的前必須取得同意,前後不對等做法有待商榷。
香港第三項保障資料原則的官方摘要:
除非得到資料當事人自願給予的明示同意,否則個人資料不得用於「新目的」,即原先收集資料時擬使用或相關的目的以外的目的。
中國個人訊息保護法亦設類似規則,當資料處理目的、處理方式或個人信息種類有變更時,就必須重新獲取同意。
隨時可以撤回同意
一般情況下,曾經同意收集和處理個人資訊不等同於永久同意,實際上有權隨時撤回許可 (withdraw consent),提出不再同意對方繼續使用個人資訊,亦無須提供原因。除特殊情況,收回同意代表資訊處理者失去使用該等資訊的法理依據,因此必須停止利用個人資訊作任何用途。
歐盟 GDPR 進一步要求資訊處理者必須在取得同意之前,告知資訊當事人擁有事後撤回同意之權利,同時需要保持撤回同意過程簡單方便。除此之外,部分私隱法律賦予資料當事人要求刪除所有相關個人資訊之權利 (通稱 “Right to be Forgotten"),惟非本文討論範圍。
香港六項保障資料原則的第三項原則:
資料當事人有權以書面通知,撤回先前曾給予的同意。
歐盟 GDPR:
The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw as to give consent. (Art.7(3))
中國個人信息保護法同樣表明當事人有權撤回同意,同時要求資料處理者提供便捷的撤回同意方式。換句話說,處理者不可設法諸多阻攔。
值得注意,資料處理者不可單憑過往獲得的同意作為藉口,拒絕事主依法撤回同意,有時候這是坊間常見的誤解。
後記
對於這類說明文,要不要總結也沒有太大分別,不如分享一些個人感想。
目前[Man講座]系列主要以兩種媒介發行,從文字、影片分享不同類型知識,涵蓋科技與科技以外的領域,而無線網絡主題最受歡迎,漫談 4G、5G、Wi-Fi 背後技術原理。誠然此類內容瀏覽量遠遠不如平日的產品規格比較、開箱評測,不過內容真正價值不應只憑數字多寡判斷,無奈深度與質素往往被世人所遺忘,畢竟商業社會追求數字所反映的業績,不由我們扭轉的現實。
去年 HMD Global 聯手合作,以產品以外的角度展現 Nokia Mobile 背後的精神和價值,筆者就此設計出 “SSP" 理念作推廣,即 “Sustainability Security Privacy",各設一篇專題文章,希望消費者注意硬件規格以外的因素。其中 ESG 概念乃近年國際非常流行的議題,大眾開始關注企業的社會道德責任,以及生產活動對自然環境造成的破壞,以上種種無疑屬香港消費者平日較少留意的範疇。該次合作帶領 ManHungTech 進入另一層次,希望為廣大讀者帶來更豐富、更深入的專業資訊,把視野投放到規格、功能之外的學術知識。
這一個想法,是慶祝 ManHungTech 五周年時候對自己訂下的目標,最後請大家繼續多多指教。
歡迎讚好 ManHungTech 的 Facebook 專頁
ManHungTech 
上面資料有用, 不過好多時貪懶無人記得….Orz
讚讚