熱門:

2019年12月9日

許佳龍 解牛集

網上個人資料準確性相當重要

美國《加州消費者隱私法案》(California Consumer Privacy Act, CCPA)即將於2020年1月1日生效。這條法案加強了對消費者隱私權利的廣泛保護,並對企業收集消費者個人資訊作出更大力度的限制。按照法案,消費者有權要求企業披露其掌握了自己多少個人資訊;亦有權利要求公司刪除這些數據。

誠然,有不少公司沒有好好保護收集到的個人私隱訊息,輕易外洩。隨着5G和物聯網(IoT)時代來臨,個人私隱訊息的保護議題再受到更大的公眾關注。

對於加州消費者隱私法案,其立法過程實在也值得一說,因為這反映了保護消費者私隱權利和企業營利行為之間的「矛盾」,如何取得合理平衡,也是一個值得思考的問題。

一直以來,加州消費者隱私權組織(Californians for Consumer Privacy)對許多大型企業輕易取得消費者的個人資料,但一般消費者卻幾乎沒有拒絕提供個人資料的權利;亦無法知悉大型企業究竟掌握了自己多少個人資料,該組織認為,蒐集了大量個人資料的大型企業,應有責任給予消費者是否提供個人資料的權利;亦應該向外揭示它們所使用個人資料的方式,以及把所得資料進行分享的對象。

在這種考量下,於2017年,該組織提出法律草案,並開始進行連署,其後蒐集了逾6萬份連署,聲勢相當巨大。

CCPA與GDPR「一脈相承」

由於加州消費者隱私權組織版本的CCPA相當嚴格,為了避免對企業經營的衝擊過大,於是有參議員與眾議員同該組織協商,最終,參眾議院通過一個類似的隱私權保護法案,該組織亦撤回了提案。加州州長布朗(Jerry Brown)遂於2018年6月28日簽署了CCPA法案,生效日期為2020年1月1日,這CCPA比起加州消費者隱私權組織最初所提出的版本,無疑有所寬鬆。可以說是在個人私隱保護權利和企業經營上取得一個折衷「平衡」。

記得歐盟於2008年5月下旬落實了《通用數據保護條例》(General Data Protection Regulation, GDPR),這條被視為加強保護消費者權利的高標準「里程碑」法例。與加州的CCPA相比,提高對個人數據保護標準的立法精神,出發點可以說是「一脈相承」。

再看深一層,提高對個人數據保護的標準,其實牽涉到一個一直備受困擾的保護方向性問題,即不少人受到因為個人過往數據的錯誤紀錄而受到侵害。怎麼說呢?舉例來說,有不少公司都紀錄和儲存了不少消費者的資料,但這些數據繼後往往沒有得到更新,這些未經更新的數據資料──往往也無法獲得更新,基於客戶同公司做了一次交易後,便沒有再光顧,這樣一來,公司所擁有的客戶個人資料數據便不全面,甚至有所訛誤。

這種情況在消費行業的層面,影響可能沒有那麼嚴重。但在銀行或金融行業層面,錯誤的個人資料數據對客戶的影響,便可大可小。

過往,因錯誤數據紀錄而受到影響也大不乏人,譬如,因為錯誤的數據紀錄而遭銀行拒絕樓宇按揭貸款申請,並非沒有案例。很清楚,若銀行作出的決定是基於「錯誤訊息數據」,那麼,這個申請人的權利便受到實質性侵害。

相對來說,迄今不少人都未為意到,保護消費者訊息的方向,是要保證公司存取客戶訊息的準確性。這個準確性十分重要。上述因「不準確」訊息而使個人權利受到侵害的例子,足以反映問題的重要性。

因此,歐美國家對個人資料數據的保護,其中一個保護方向,是要求容許消費者直接看到這些個人數據,甚至有權利要求企業刪去那些不正確的個人資料數據。

美國即將實施的《加州消費者隱私法案》,容許消費者有權要求企業披露其掌握了自己多少個人資訊;同時有權要求公司刪除這些數據,其實就是演繹了這個法律的精神。

在目前大數據時代,愈來愈多的數據應用,並不取自傳統的數據資料,而是取自一些新穎的數據資料。譬如,在財金領域,當下金融界有一個愈來愈流行的發展趨勢,是不再應用傳統的金融紀錄,即顧客的交易紀錄,而採用來自社交媒體或網上平台的行為紀錄,據此作信用評估,在內地,這種信用評估方法相當火熱。在一些已發展的市場,如美國,中國大陸甚或香港,政府和不少專業金融機構正熱中地去研究這個方法是否可行。

新穎數據應用趨普遍

由上述情況綜合來看,我們發現,個人資料數據的準確性,是一個非常重要的問題;更是個人私隱保護最重要的組成部分。

過往,大家把目光只注視傳統數據資料,但當愈來愈多組織,包括財金機構採用個人在社交媒體或網上平台的行為紀錄,作為應用基礎,包括用來作信用評估,這樣一來,我們在社交媒體或某一網上平台留下來的行為紀錄,便顯得相當重要,不能掉以輕心。

舉例來說,我們在網上做了一次交易,之後沒有在意去更新留下來個人資料數據,也沒有再去光顧,那些留存在網上「一次過」的交易行為,其訊息所承載的「個人紀錄」,經過一段日子,可能已經有所失實,這些失實的個人資料數據,日後或有機會被他用,譬如,金融機構用來作信用評估。可以看到,舊資料數據一旦沒有更新,維繫其準確性,後果可能很嚴重。

另一方面,從積極角度看,再以財金行業為例,過往有銀行對貸款申請人,因為沒有掌握申請人足夠的交易資料,甚至交易紀錄是一片空白,於是便按工作指引一口拒絕其貸款申請,使貸款人白費了申請努力。

然而,若銀行可以通過申請人在社交媒體,或網上平台過去的行為紀錄,作為信用評估,這樣一來,銀行的評估便多了一個選擇標準,按照其行為紀錄,通過了其貸款申請。由此來看,銀行可以擴大業務的範圍,增加生意額,對貸款申請人來說亦可取得應急錢,實現了一個「雙贏」效果。

隨着5G和物聯網時代來臨,有人擔心,個人私隱訊息可能受到更大的潛在失保風險。照目前情形來看,歐盟去年落實的《通用數據保護條例》(GDPR),其實已經是一條對消費者保護標準達到極致的立法。

不過,很多國家或地區,包括香港,還未能夠尾隨歐盟對個人私隱保護的高標準步伐,相信有待逐步推進。如今5G和物聯網(IoT)時代來臨,是否需要有一些比GDPR對個人資料數據保護更高標準的立法,目前看來還沒有必要。

香港群體訊息未獲保護

很顯然,5G和物聯網同目前一代的技術,主要分別是5G和物聯網等儲存數據量大、速度快,但相對於個人訊息數據保護,直接的影響關係並不大。當然,個人私隱訊息是否受到更大的潛在失保風險,很視乎當地政府在保護個人資料數據高低標準的立法。以香港為例,法例對個人資料數據的保護,只針對資料數據同個人直接掛鈎,亦即從資料能夠識別出個人,這些「個體」訊息數據就有法例明確保護。

反之,若5G或物聯網數據庫上的資料,是屬於「群體性」,識別不出個人來,那麼這個「群體」的訊息數據,法例便不作保護。究竟「群體」的訊息數據是否也需要得到保護,是一個「可圈可點」的議題。

總括來說,對個人私隱資料數據的保護,關鍵在於確保資料數據是否正確。這一點十分重要。隨着個人資料數據在企業的蒐集、應用和分享愈來愈廣泛,如何確保個人的資料數據在「被應用」時正確、如何讓個人參與去維繫這個資料數據的「正確性」,並有進行更正與更新的機會或權利,無疑是一個大眾愈來愈切身的問題,不容忽視。

作者為科大資訊、商業統計及營運管理學系講座教授

 

放大圖片 / 顯示原圖

訂戶登入

回上

信報簡介 | 服務條款 | 私隱條款 | 免責聲明 | 廣告查詢 | 加入信報 | 聯絡信報

股票及指數資料由財經智珠網有限公司提供。期貨指數資料由天滙財經有限公司提供。外滙及黃金報價由路透社提供。

本網站的內容概不構成任何投資意見,本網站內容亦並非就任何個別投資者的特定投資目標、財務狀況及個別需要而編製。投資者不應只按本網站內容進行投資。在作出任何投資決定前,投資者應考慮產品的特點、其本身的投資目標、可承受的風險程度及其他因素,並適當地尋求獨立的財務及專業意見。本網站及其資訊供應商竭力提供準確而可靠的資料,但並不保證資料絕對無誤,資料如有錯漏而令閣下蒙受損失,本公司概不負責。

You are currently at: www.hkej.com
Skip This Ads