漏洞多 罰則輕 個人資料欠保障
2018.12.05
封面專題
今日香港+全球化
主題:生活素質+全球化帶來的影響與回應
答案︰A
解說
私隱指個人、並與公眾無關等資料,個人姓名、電話、地址、身分證號碼、病歷等都是《個人資料(私隱)條例》所保護的資料。國泰航空於十月底公布今年三月乘客私隱外泄,940萬名乘客資料如護照號碼、信用卡號碼被不當取覽。由於現時本港法例不會強制機構通報私隱外泄問題,即使不遵守私隱專員發出的執行通知補救,最多只會被判處罰款港幣五萬元及監禁兩年。近年資訊發達,個人資料被置於大數據處理,惟網上保安漏洞處處,公眾不滿罰則太輕無阻嚇力,個人資料安全岌岌可危。
國泰外泄乘客資料事件
國泰航空於十月底公布,三月時系統發現可疑黑客活動,國泰及港龍航空940萬名乘客的個人資料未獲授權取覽,包括乘客姓名、出生日期、電話、電郵、實際地址、護照號碼、信用卡號碼及過往的飛行記錄資料等。事件引起公眾譁然,質疑系統保安不力,以及太遲公開事件及報警,國泰解釋調查需時,為免公眾無謂恐慌才延遲公布,否認蓄意隱瞞。
通報機制是「無牙老虎」?
現行法例下,個人資料受《個人資料(私隱)條例》保障,然而條例罰則輕,被質疑是「無牙老虎」。
‧第一,現時私隱條例不設強制通報要求,個人資料外泄時,資料使用者毋須通知私隱專員及受影響人士。過去政府曾檢討條例通報機制,但私隱專員僅建議資料使用者在發生事故後盡快通報,惟指引無約束力,只靠資料使用者「自爆」,如他們借機瞞天過海,受影響者只能蒙在鼓裏。
‧第二,根據條例,違反保障資料原則並非刑事罪行,但如相關人士或機構違反個人資料私隱公署的補救指令,私隱公署調查後可轉介警方檢控,一經定罪,最高罰款港幣五萬元及監禁兩年。由於資料外泄牽連甚廣,立法會議員楊岳橋直指罰款額僅五萬元,沒有阻嚇力,「一張國泰商務機票啊,都唔知買唔買到?」
資料外泄事例與影響
互聯網使用例如網上理財、抽獎等變得愈來愈普及,企業掌握眾多個人資料,不過,如管理或保安不善,這類企業資料庫便成不法分子覬覦對象。以香港為例,過去一年已發生多宗資料外泄事件。
香港私隱外泄事件簿
‧香港寬頻系統被黑客入侵
電訊網絡商香港寬頻四月表示遭黑客入侵,涉及38萬名客戶,當中有4.3萬張信用卡資料被盜。香港寬頻事發後三日發通告交代,並報警處理。
‧大型跑步活動網頁登記系統保安漏洞
指定銀行信用卡客戶可於網上報名「LINE Friends Run 2018 HONG KONG」跑步活動,不過11月初時,有應用程式開發公司發現該網上報名系統有漏洞,參賽者部分資料暴露人前。主辦機構即時停止報名系統,確認無泄露信用卡資料和敏感資料。
‧電子錢包電郵被盜用
由滙豐銀行推出的P2P電子轉帳應用程式「PayMe」於11月初公布部分用戶電郵被盜,共有20個帳戶遭未經授權登入轉帳,涉款港幣10萬元。全港有過百萬名「PayMe」用戶,滙豐表示已主動聯絡受影響客戶並賠償,同時已上報事件予香港金融管理局。
盜用資料 影響政經
‧商業詐騙
2010年八達通公司被揭發自2002年起將約200萬客戶的個人資料售予第三者,並收取超過四千萬元,事件暴露個人資料隨時被企業當成資產出售的危機。近年「釣魚」電話盛行,由於不法之徒掌握市民大量個人資料,容易冒充其他公司騙財。雖然電話號碼、地址、信用卡號碼等資料可以更改,但最大問題為身分證號碼外泄,騙徒可以此認證信用卡,甚至冒認借貸,後果不堪設想。
‧政治工具
資料外泄事件多與商業詐騙有關,但facebook劍橋分析事件卻令公眾擔心個人資料處理不當,會被用作操縱選舉和影響政治的工具。今年三月,網上社交平台facebook被揭發超過5,000萬帳戶的資料疑遭第三方數據分析公司劍橋分析挪用,以心理分析應用程式為幌子取得用戶資料,其後在選舉期間針對用戶喜好貼出廣告,試圖影響選情。
保護個人資料:法例+科技
法例:歐盟私隱新法
歐盟私隱新法《通用資料保護規例》(GDPR)於今年五月實施,嚴格規定機構要妥善保障客戶個人資料,條例最重要之處為設立通報機制和訂立阻嚇性罰則,如歐盟公民的資料外泄,涉事機構須於72小時內通知歐洲資料保護機構及當事人;罰款方面,最高罰款額為企業全球營業額的百分之四或二千萬歐羅(約1.8億港元),以價高者為準。此外,機構須清楚詢問當事人是否同意提供具體個人資料,當事人亦可要求機構刪除其資料。
今年九月初,英國航空訂票網站遭黑客入侵,外泄通過信用卡付款的客戶的個人及財務數據,達38萬筆交易受牽連。與國泰航空延遲七個月才公布事件不同,英航於事發後兩日公開事件,並承諾賠償客戶損失。假如國泰事件涉及歐盟公民,國泰即違反GDPR,罰款隨時不是香港的五萬元,而是高達40億港元。
科技:區域鏈能解決問題?
科技發展日新月異,近年金融業提倡於交易上應用「區域鏈」技術,通過加密的電子記帳,省卻傳統由第三方處理交易。雖然區域鏈有助減少可疑交易和降低交易成本,用戶資料亦毋須儲存於公司雲端,但應用區域鏈亦有私隱外泄隱憂,如區塊鏈資料不可竄改,寫入個人資料將不能刪除,而系統使用者可依交易記錄推算交易者身分。長遠來說,區塊鏈具潛力,惟廣泛應用仍面對眾多挑戰。
Mindmap:資料外泄的監管與影響
參考資料
‧香港個人資料私隱專員公署
https://www.pcpd.org.hk/cindex.html
學習教材
議題分析
這議題的本質是甚麼?
隨科技應用日漸廣泛,網絡罪行層出不窮,然而網絡資料外泄事件時有發生,反映機構保護資料不力;與外國如歐盟相比,本港現行保護個人資料條例阻嚇力不足,未能推動機構積極保障用戶個人資料。
這議題包含哪些相關概念?
(例)
個人資料私隱公署(Office of the Privacy Commissioner for Personal Data, Hong Kong)
個人資料私隱專員公署成立於1996年,為獨立法定機構,負責推廣、監察及監管,並促使市民遵從個人資料私隱條例,確保市民的個人資料私隱得到保障。現任私隱專員為黃繼兒。
網絡釣魚(Phishing)
網路釣魚為詐騙手段,不法分子通過垃圾電郵、網站或電話等,偽裝成不同的機構,意圖套取用戶個人資料,例如用戶名稱、密碼和信用卡號碼等。
試舉出與議題相關的關鍵詞。
(例)
‧資料外泄 Data leakage
‧區域鏈 Block Chain
‧黑客 Hacker
‧歐盟 European Union
‧劍橋分析 Cambridge Analytica
‧《個人資料(私隱)條例》 Personal Data (Privacy) Ordinance
你對此議題的見解為何?
請填寫:
這議題是否重要?其發展有何影響?
請填寫:
資料回應題
細閱以下資料,然後回答問題。
資料一
香港個人資料私隱專員公署的數據顯示,2014年收到206宗涉及使用資訊及通訊科技的侵犯私隱投訴,較2013年的93宗上升超過1倍,以下是一些商戶蒐集個人資料的常見手法:
社交媒體:商戶通過社交媒體,邀請用戶向朋友推薦產品,從而獲得有潛力客戶群的聯繫方法,並借社交媒體了解用戶的個人資料、興趣及對品牌的忠誠度等。
網上行為追蹤:通過追蹤技術工具,例如小型文字檔案(cookies)、伺服器記錄(server logs)等,了解用戶瀏覽網站習慣,例如瀏覽某網站的次數、瀏覽該網站前後到訪過的其他網站,及用戶IP地址所屬的國家等。
會員登記:通過用戶的登記資料、瀏覽記錄及購買活動,商戶可以定出日後銷售或推廣的方法。
有獎遊戲/市場調查:以獎賞吸引用戶參加問答遊戲或市場調查,讓商戶了解人口的特徵、使用喜好、習慣及取向等資料。
資料來源:摘自《選擇》月刊第463 期14-5-2014
資料二
理工大學應用社會科學系於今年2月至6月,全港中學抽樣調查,訪問2120位中學生,男女生比例各佔一半,以了解他們對網絡欺凌的態度。調查顯示,有一成二受訪者曾在網上搜查別人資料,當中各有一半是網上搜查自己喜歡(like)的人,及不喜歡(hate)的人的資料;主要搜查內容,超過九成為別人的姓名,約七成為個人照片、影片及生日,近六成為就讀學校名稱,約五成為感情狀況。陳高凌明言,學生對傳統個人資料保護意識反而相當強,包括身分證號碼、銀行戶口,均不是被用作攻擊的資料;反而社交性資料,如個人資料照片、關係上認識的朋友等資料則經常被搜尋及用作網絡欺凌。
資料來源:摘自一則新聞4-9-2018
多角度思考
1.資料一反映了甚麼私隱危機?(4分)
2.你認為不同持份者可採取哪些措施去保障個人私隱?(8分)
建議答題方向
1.商戶通過不同網上途徑蒐集個人資料和喜好,放入大數據中分析,市民不知不覺間私隱被侵犯。
2.
政府:訂立更有阻嚇力的法規,嚴懲企業挪用客戶個人資料、設立強制通報機制,規定企業於資料外泄後盡快通知當局和受影響人士;
企業:增配人手於網絡保安、如遇資料外泄要即時通知客戶;
個人:注意網絡安全、不隨意開啟可疑電郵和網站、社交網站訂私隱設定、慎用公共WiFi、懷疑資料外泄要報警求助;
教育界:教授網絡安全知識。
延伸回應題
細閱以下資料,然後回答問題。
資料一
資料二
德州聖安東尼奧市一名前空軍Devin Kelly發動教堂內槍擊,造成26人死亡及20多人輕重傷。兇手本人也在混亂中身亡。為偵辦本案,美國聯邦調查局(FBI)取得兇手持有的iPhone,但因蘋果的保密機制,根本無法破解密碼。若FBI錯過第一時間的解決方法,可能讓本案錯過解鎖的「黃金期」。因為iPhone的指紋辨識Touch ID在手機未使用48小時內就會失效。如果在事發當天警方將兇嫌手指按上Touch ID鍵,就可以立即解鎖。
2015年加州聖伯納迪諾(San Bernardino)市發生14死的槍擊案,當時兇手也是使用iPhone。FBI也是在一開始弄巧成拙造成無法取得iCloud的手機資料備份,後來要求蘋果在手機內植入可解密的後門,遭到蘋果以保護用戶隱私為由拒絕,雙方為此甚至對簿公堂。
資料來源:摘自一則新聞9-11-2017
多角度思考
1.利用資料二,解釋資料一漫畫所反映的概念。(6分)
2.「國家安全比公民權利更重要」,你在多大程度上同意這句說話?解釋你的答案。(10分)
建議答題方向
1.資料二指出蘋果手機的保密機制或延誤警方找尋綫索,反映個人私隱與社區治安有衝突。資料一中,市民被置於監牢中看電視,周圍被閉路電視監視,「現在你安全了,不會受恐怖襲擊影響。」一句正反映市民要犧牲個人自由去換取安全的概念。
2.同學可自由作答,言之成理即可。作答時首要準確定義兩者,指出當中衝突之處,並加以比較。國家安全可泛指以軍事保衞領土和政治獨立,亦可指國土內部,對政權有形(恐怖襲擊)和無形(言論)的威脅;公民權利則為個人不受國家侵犯的思想、宗教、人身、言論等自由。就資料二所反映,國家安全和公民權利最大衝突在於個人私隱,國家是否可借公眾安全為由「入侵」市民的私領域?同學可環繞此大題作答,同時宜引現實例子輔證。
載自2018年12月5日《S-file通識大全》
