個人資料私隱專員公署(下簡稱專員)上周公布,就雅虎香港控股向內地機關「洩漏」內地記者師濤個人資料的投訴報告,結果指投訴並不成立,主要原因是雅虎提供的IP地址並不屬私隱條例中所訂「個人資料」的範圍,而且事件並非在香港發生,已經超越專員和法例的管轄範圍。
由於事情敏感,並且已經引起國際關注,專員也不敢掉以輕心,發表長達50頁的報告詳細回應各項細節,而且為自己留着後路。專員指稱條例中有灰色地帶,有檢討必要。
用戶身份唾手可得
筆者詳細閱讀了該份報告一遍,專員決定IP不屬「個人資料」的立論中最關鍵的一段如下:「IP地址並不包含與個人『有關』的資料,而註冊用戶的資料亦不容易地取得,例如透過公共域內的資料取得。因此,專員認為IP地址就其本身而言並不符合『個人資料』的定義。」
私隱專員說得對的,單靠IP地址不能確定對方身份,但對於一些擁有其他個人資料的機關或特權階層(如政府或警方等),只要掌握到網站的IP地址和使用資料,加上ISP的數據配合,再有一些保安單位提供的位置、地址及人流出入資料,用戶的身份絕對是唾手可得,完全可以「間接的」和「合理的」得到確認,這也解釋了為何最終師濤的身份仍被確認,香港海關和唱片商才可以向BT用戶發警告信。
所謂「註冊用戶的資料亦不容易地取得」,只是針對一般人而言,若是特權階層如中國政府或香港政府,此說完全不成立。狹義的法例詮釋,只會令私隱條例淪為特權階層的工具,對一般市民毫無保障。
專員在報告中說:「由於條例並沒有提供「間接(使用個人資料)」辨識資料的規定測試(prescribedtest)」,所以惟有由專員自行以「概念」詮釋,弄出這有違常理的「IP不屬個人資料」結論。
應將案件交法院裁決
法律怎樣定義個人資料,最好還是交由獨立的司法機關詮釋。專員其實應將案件交由法院裁決,用普通法概念來理解「個人資料」,並成為將來可以引用的案例,而不應在承認法例指引不足(沒有規定測試)的情況下,貿然作出一個狹義的詮釋,這對公眾利益並無好處。至少,政府應全面檢討私隱條例在資訊世界中的適用情況。
侯聯貴
電郵地址:lghau@yahoo.com