300万香港Facebook用户资料外泄
超过五亿Facebook用户个人资料遭外泄,当中近294万来自香港。与以往案例的最大分别,是牵涉的资料齐全,包括不常变更的流动电话号码,而且资料不需要专业技术也能取得。资料外泄无法挽回,民间和各地监察机构只能尽力减少其伤害,可惜,就香港而言,因着职权所限,港人难以寄望个人资料(私隐)专员公署能有力提供保障。
事件在本月3日(周六)被广泛报道,但各地政府和监督机构均对近日的外泄事件可谓束手无策。这不是单指外泄已成定局,而是指外泄的资料库早于2018和2019年已经出现,及至今年1月及近日分别放在自动程式和黑客论坛,取阅资料的方法愈来愈容易。不少资讯保安专家估计这批海量资料库已经转手多次,早已落入黑客和企业手上。
美媒《商业内幕》(Business Insider)昨日(3日)报道,Facebook逾5亿名用户的个人资料,包括姓名、电话和电邮等,被上载至一个黑客网站供免费浏览。
连GDPR也没办法
既然过失从Facebook产生,外界期望法规能令Facebook负上一定责任。然而,据爱尔兰资料保障公署的新闻稿指出,近日外泄的资料,绝大部分在2017至2018年间被收集,早于欧盟《通用数据保障条例》(GDPR)生效之时。这意味着欧盟未必能循GDPR的罚款机制追究Facebook的责任。
再者,因为资料库相当整全,除了名称、位置和出生日期外,部分还有电话号码和电邮地址,不法分子可轻易盗取他人身份,用于核证资料、冒充他人欺诈、滋扰他人和电话电邮促销。当被誉为相当严厉的GDPR也对今次外泄爱莫能助,难以预期其他地方可以惩罚Facebook。
避免外泄资料遭滥用私隐公署须扩权
在香港,私隐公署也迅速行动,先于4日(周日)已经联络Facebook在香港的办事处,并已去信Facebook就事件展开循规调查,包括提醒对方尽快通知受影响用户,以减低由此产生的风险,又鼓励怀疑资料被泄的用户向私隐公署查询或投诉。另外,公署刚亦发布指引,具体建议市民减低使用社交媒体和即时通讯软件的私隐风险。
然而,公署的举措不足令外界放心。这不是公署失职,而是公署的权力过小,而且对滥用个人资料者的阻碍力有限,对公署难有期望。这见诸于公署不能强制企业通报个人资料外泄事件,亦缺乏刑事调查权及施予行政罚款等措施的执法权。
私隐专员钟丽玲。(孔繁栩摄)
政府年初表示会修例把“起底”行为刑事化,以及赋予专员在“起底”范畴内刑事调查和检控权力,并争取于暑假前提交议会审议。坊间有意见担忧刑事化会打击合法的侦查采访、揭露真相,但现时“起底”乱象未止,人人自危,只要法例有适当豁免,相信能平衡私隐和公众知情权。至于赋予公署域外执法权以防止海外网络平台储存个人资料,私隐公署称未能赶及立法会会期前完成修例,望政府切勿耽搁,尽快把之完成。
相较之下,针对今次Facebook个人资料外泄事件,诚然强制通报制度的效用有限,但这不表示机制在日后措施无用。有了机制,日后机构定当加紧管理用户个人资料,万一资料不幸外泄,用户亦能在短时间被知会,而公署亦可按规例罚款,惩处机构。欧盟、美国和澳洲等政府已要求企业强制通报个人资料外泄。
国泰航空于事发七个月后始通报有940万名乘客资料外泄。(资料图片)
在香港,自2018年国泰航空多番拖拉后才公布约940万位乘客资料外泄后,坊间已要求加入强制通报制度,可惜后来不了了之。Facebook案例再次证明政府不可怠慢,而且还要加入两项重要条件在机制内,一是把机制覆盖在港经营业务或在香港收集和持有个人资料的机构,二是延伸机构通报范围至与机构相当程度相关的个人资料,即使该等资料不是直接由机构外泄。
社交媒体掌握海量个人资料,稍一不慎容易爆发私隐灾难。香港需要强而有力的私隐公署,才可令企业戒慎恐惧,小心管理个人资料,阻止数据外泄和被滥用。
网友评论