立法會最近就「起底」問題,準備修訂《私隱條例》,但修訂草案引起本地社會爭議,就連成員包括facebook及Google等科技巨企的亞洲互聯網聯盟(AIC)都要去信私隱專員公署,認為修訂對「起底」的定義太闊,表示大眾至今仍未有一個普遍接受的定義,修訂更有可能使到無辜的分享行為受私隱專員公署的檢控。「起底」無可否認地是侵犯了個人私隱,不過如果修訂案能成功通過,定義太闊的法例會導致市民無所適從,同時令到從事相關服務平台工作的中小企飽受不必要的壓力,最後影響本地的言論自由及資訊流通。
需一併考慮資料蒐集過程及動機
本地修訂案中的「起底」一詞是指任何披露者在未獲得當事人同意的情况下,披露當事人的個人資料,並導致滋擾或指明傷害,例如身體、心理或財產傷害。
問題是,單從非授權披露行為及當事人的傷害,是不足以判斷披露者的行為屬於「起底」與否。
「起底」的英文「Doxxing」源自1990年代的電腦黑客用語「Dropping Dox」,當中的「Dox」意思是指與個人資料有關的文件(Documents),而「Dropping Dox」的意思就是指透過自己方法蒐集當事人的個人資料,然後在公眾地方「跌掉」這些原先公眾接觸不到的個人資料,以達到報仇的行為。
另外歐洲議會在2018年的一份關於女性的網絡暴力及仇恨言論的報告(Cyber violence and hate speech online against women)中提及「起底」一詞,當中定義除了包含未經授權的情况下透露個人資料達到傷害他人的意思外,亦提出「起底」要有搜尋(researching)或整理(manipulating)個人資料的行為。
所以,單單從披露行為及其帶來的傷害,並不能證明就是一個「起底」行為。以分享社交媒體內容為例,一個網民如果純粹分享其他人已發布的內容,即使分享個人資料是一個不理想的行為,但亦不應把分享者視為「起底」的一部分。因為分享者並沒有涉及資料蒐集的過程,而且一個行為及內容是否涉及「起底」,和分享者沒有必然關係,故披露者應僅限於內容發布及創作者,否則網民會因為害怕誤墮法網,最壞的情况是網民索性一刀切不分享社交媒體內容,變相減低資訊流通的自由。
除了分享的情况外,修訂案亦要考慮以明確字眼排除一般的資料泄漏的情况。以2017年選舉事務處遺失電腦及2018年國泰航空遭到未獲授權取覽的事件為例,事件中涉及的受害人數以百萬計,受影響的普羅大眾都會承受一定的心理壓力,涉事的員工應否被當成罔顧傷害可能性的披露者,然後把事故當作「起底」處理呢?當然不是,資料泄漏事件的考慮已證明修訂案有明顯灰色地帶,政府應該在法例通過前對「起底」有一個更準確的定義,同時亦應該就大型資料泄漏問題另外立法。
對本地互聯網中小企造成不必要壓力
除了披露者的定義嚴謹度不足外,修訂案另一個問題是覆蓋範圍甚廣,會導致不同中介服務平台及其員工受壓。修訂案中給予公署在合理懷疑下搜查處所、接達和搜查電子器材的權力,而且範圍不止疑犯、論壇及社交平台有關的電腦,中介服務例如主機服務、網絡搜尋器及互聯網供應商都包括在內。萬一公司不依從「停止披露通知」的指示,公署更有權封網。
本地的科技公司和亞洲互聯網聯盟的成員公司有一個不同的地方,就是後者基本上都是科技巨企,面對法律問題有一定的資源及經驗。不過如果連科技巨企都對條文有所擔憂,那麼本地的中小企就更不能招架得住。在這個情况下,有公司為求自保,要麼將公司遷移到亞太區其他地方,要麼寧枉勿縱,加強自我審查,將稍為有可疑的內容直接下架,以減低被搜查的可能。不論結果如何,本地互聯網工業的競爭力及資訊自由空間都會受到打擊。
無視多年市民對私隱條例的訴求
今次修訂案只針對「起底」的情况,但多年來一直為人詬病的大型資料泄漏事故卻隻字不提。針對處理企業及政府部門的資料泄漏事件,本港政府可參考歐盟的《一般資料保護規範》(General Data Protection Regulation),規定72小時內強制匯報機制,及最高行政罰款為2000萬歐元或涉事機構全球年營業額4%,以較高者為準。而且私隱條例第33條「禁止除在指明情况外將個人資料移轉至香港以外地方」到今時今日仍未生效,市民在資料跨境傳輸的情况下,是沒有得到應有的保障。所以政府在規範「起底」的同時,更應該優先解決積存多年的「詬病」,確保升斗市民的權利受到保障。
由此可見,倉卒通過修訂案無法回應市民訴求,更有機會波及到本地互聯網工業發展空間,及市民應有的互聯網接收資訊與通訊自由。
(作者按:以上只代表筆者的個人意見,並不代表他所屬任何團體的意見)