個人信息在香港保護得好不好?這個問題很難回答。因為一方面,香港有亞洲唯一的個人信息保護機構——香港私隱專員公署,也有專門的《個人資料(私隱)條例》,生活其中的人們有理由相信自己的個人信息是安全的;另一方面,香港社會卻也經(jīng)常爆出諸如“艷照門”、“八達通買賣用戶個人資料”的轟動性事件,給人們帶來種種不安。
獨立的專門機構:香港個人資料私隱專員公署
在香港住了稍微長一點時間才發(fā)現(xiàn)一個“奇怪”的現(xiàn)象:很要好的香港朋友會跟你探討學習課程,會跟你一起八卦明星緋聞,但是很少會跟你講他的家庭,分享他的感情;他們會跟你在外邊吃飯,但是從來不像內(nèi)地好朋友那樣“親密無間”,很少見他們邀請你去家里做客;學習和工作之后的生活,他們會覺得是自己私人的事情,沒必要與別人分享。香港普通市民大多具有很強的保護自己個人信息的意識,這與個人資料私隱專員公署的積極努力分不開。
成立于1996年8月1日的香港個人資料私隱專員公署非常特殊,并非僅僅因為它是亞洲唯一一家公營的個人信息監(jiān)管機構,更是緣于它的完全獨立性,不受香港任何機構的管治,也不需要向最高行政長官負責和報告,這一點確實比聲名遠揚的香港廉政公署還“!。因此,很多人因為津津樂道于香港廉政公署雷厲風行的執(zhí)法,進而猜測香港個人資料私隱專員公署也應該是一個“厲害角色”。但事實上,它的職責只是監(jiān)察香港法例第486章《個人資料(私隱)條例》的施行,其重要目標也只是確保個人和公司(其他機構)認識自己在個人信息保護領域的權利和義務。
香港個人資料私隱專員公署平日里最多的工作不是憑借強力手段打擊對個人信息的侵犯,而是通過教育、宣傳和推廣,培養(yǎng)香港公眾尊重個人信息的文化。普通公民可以在公署官方網(wǎng)站上預訂每個月2-3次的隱私權保護講座,公署也經(jīng)常會派員到香港的酒店和醫(yī)院宣傳推廣“如何保護個人資料”,還會在電視節(jié)目上提醒公民要善于保護自己的個人信息。
孩子是文化養(yǎng)成的向上生長力量,公署為了培養(yǎng)香港青少年的個人信息保護意識,煞費苦心。在他們的官方網(wǎng)站上有專門為青少年設計的欄目。公署工作人員也充分考慮到青少年對法律知識的接受方式,用不同種游戲代替說教來普及個人信息相關的法律知識。譬如說公署會聯(lián)合香港青年協(xié)會合辦“隱私新節(jié)‘拍’廣告短片創(chuàng)作比賽”,參賽者制作一段一分鐘以“尊重隱私”為題的電視宣傳短片,獲獎者不但可以獲得現(xiàn)金和電腦產(chǎn)品等物質(zhì)獎勵,而且他們的獲獎作品更有機會在電視上播放,供全香港觀眾欣賞。這樣的榮譽感可能比物質(zhì)獎勵更能給孩子帶來成就感。而正是在這樣的參與體驗和成就感培養(yǎng)當中,讓青少年潛移默化地認識和了解了基本的個人信息保護法律知識。
溫柔公正的法律防線:《個人資料(私隱)條例》
公署雖不是一個執(zhí)法機構,但是對侵犯個人信息的行為,它會責無旁貸地認真處理投訴,也會積極主動地出擊調(diào)查和發(fā)出改正通知。根據(jù)《個人資料(私隱)條例》,如果香港居民感覺自己的個人信息被非法泄露或者不當商業(yè)使用,受害者可以向個人私隱專員投訴濫用資料者。
但是公署并不會對每一個投訴都做出調(diào)查,按照《個人資料(私隱)條例》規(guī)定,如果他們認為投訴所涉及的行為是微不足道的,這種行為只對投訴人造成輕微的損害或不便;或者投訴是無理取鬧或不是真誠做出的;投訴是因為私人恩怨或其他和個人信息無關的因素引起的等等,這些投訴都不會被受理。比如,2010年末,黃先生為兒子數(shù)月前遭雜志跟蹤偷拍一事,去信個人資料私隱專員公署求助,公署就沒有受理,報紙報道黃先生因此怒斥“這個政府是不是空的啊?那么會推卸責任”。其實他不明白,隱私專員公署跟政府無關,政府也不能命令隱私專員公署受理或者不受理某個投訴。
更普遍的情況是,在接到投訴并核實投訴人的身份后,私隱專員公署會辨別證據(jù)真?zhèn)危僬归_調(diào)解,或正式調(diào)查。如果經(jīng)過初步查詢后,公署發(fā)現(xiàn)投訴對象沒有違反條例任何規(guī)定的表面證據(jù),他們也可以終止調(diào)查。假如舉報屬實,私隱專員發(fā)出執(zhí)行通知,要求違規(guī)者改進。如果公署覺得違規(guī)者有可能重犯,也會出一個執(zhí)行通知,此人必須遵守執(zhí)行通知。2006年初,一所學校為了記錄出勤情況和提供午膳及圖書館服務而收集職員及學生的指紋。有學生向個人私隱專員公署投訴,公署調(diào)查后認為這一做法違反《個人資料(私隱)條例》,發(fā)出執(zhí)行通知校方立即停止這一做法,并銷毀已經(jīng)收集的指紋。
不管是教育、宣傳,還是調(diào)查、執(zhí)行通知,其實都是以很溫和的方式開展。即使《個人資料(私隱)條例》祭出的“最高處罰”也顯得 “溫柔”,在其第九部分第六十四條,有十條規(guī)定了可被認定為犯罪的侵犯個人信息的行為,其中就有如果不遵守個人私隱專員的執(zhí)行通知,當事人可能被處五萬元罰款和兩年的監(jiān)禁。事實上,香港個人資料私隱專員公署建立多年以來,并沒有很多人或者機構因為侵犯個人信息而被科以“最高處罰”(兩年監(jiān)禁和罰款五萬元)。這個“最高處罰”在香港的法律里其實只是“小兒科”,也被極其謹慎地適用,原因正如前專員吳斌接受媒體采訪時所言:“我自己覺得這個條例是比較溫和有柔性的,條例最終是希望培養(yǎng)一個個人信息受到尊重和保護的社會。所以我們更重視教育和調(diào)查!
不過,現(xiàn)實中可能存在被投訴的個人和企業(yè)會被“冤枉”的情況,為此,《個人資料(私隱)條例》盡量做到了公正,給被投訴的個人和企業(yè)提供充分救濟的路徑,盡量向亞里士多德所言的“中道的權衡”那樣的良法靠近。按照條例規(guī)定,如果被投訴的個人或企業(yè)不服私隱專員公署的調(diào)查和裁決,可以向私隱專員公署行政上訴委員會申訴,如果被駁回,可以向香港高等法院提出司法復核。
2008年,私隱專員就吃到了一個敗訴,他們收到國泰航空員工投訴“國泰航空要求長期因病請假的員工提供過去12個月的醫(yī)療記錄”之后,展開調(diào)查并認為國泰航空違反條例的有關條款,遂向國泰航空提出執(zhí)行通知,要求國泰航空停止有關做法。國泰航空不服,向私隱專員公署行政上訴委員會申訴,被駁回之后又向香港高等法院提出司法復核,最后高等法院判決國泰航空司法復核勝訴。這個敗訴并沒有損害私隱專員公署的聲譽,反而增加了人們對其在積極保護居民個人信息方面的信心?梢,由《個人資料(私隱)條例》構建的個人信息保護防線溫柔又公正。
香港居民若遇到個人信息侵權事件,除了可以向私隱專員公署提出投訴之外,也可以向法院提出起訴,其實,香港普通法中并沒有明確隱私權是一項獨立的權利。即使這樣,對個人信息的侵權行為還是可以向法院提出起訴,只不過當事人無法獲得直接的法律救濟,而必須訴諸其他民事侵權的訴訟因由,通過間接的方式尋求保護。根據(jù)普通法制度,這些因由主要包括“侵犯他人土地”、“妨害個人安寧”、“違背信任”、“侵犯版權”、“違約”、“有意施加精神壓力導致身體傷害”、“侵犯他人人身”、“誹謗”、“惡意謊言”等。
其實有很多居民認為《個人資料(私隱)條例》太過溫和,缺少保護的力度,所以面對個人信息侵權事件,他們選擇了法院而不是選擇香港個人資料私隱專員公署去救濟自己的權利。在“艷照門”事件中,有關當事人均未主動向個人資料私隱專員提出投訴,而是采納了代表律師的意見,首先承認自己擁有有關照片的版權,方才遏制了其進一步傳播。
信息時代的個人信息保護
專門的機構、溫柔又公正的法律防線、隱藏但堅固的普通法盾牌,看似完美的保護個人信息的組合在信息時代的今天,事實上正在經(jīng)歷一次又一次考驗。
2008年,先是醫(yī)院陸續(xù)發(fā)現(xiàn)病人資料遺失,后有匯豐銀行近16萬名客戶的資料失竊,之后泄密事件再次升級,香港入境處的秘密文件竟然出現(xiàn)在網(wǎng)上;2009年,一名浸會大學職員處理招生申請時,不慎將附有190名申請人個人詳細數(shù)據(jù)的計算機檔案外傳;2010年,八達通公司在聽證會上承認“自2006年起向信諾等兩家保險公司出售近200萬名客戶的個人資料,非法獲利4400萬港元”,之后媒體又爆出香港有六家銀行在過去五年里,將總計60多萬名客戶的資料透露給第三方。
這些考驗自然引起了多方質(zhì)疑,這些質(zhì)疑有的來自普通居民,有的來自法律學者,有的來自政府,而他們大多是沖著香港個人資料私隱專員公署和《個人資料(私隱)條例》而去,很少質(zhì)疑普通法對個人信息保護的不力。其實,香港個人資料私隱專員公署自身每年也都會對自己的工作和條例做認真的檢討,僅僅2010年檢討《個人資料(私隱)條例》的公眾咨詢報告就有186頁,涉及“直接促銷”、“資料保安”、“當事人的權利”等議題,其中最引人注目的是對“個人資料私隱專員的法定權力和職能”、“罪行和制裁”這兩個方面的檢討。
無獨有偶,在“八達通出售用戶資料”事件前后,前任個人資料私隱專員吳斌稱,“長遠而言,建議將出售個人資料刑事化”,而現(xiàn)任專員蔣任宏也期待“港府能修例加強私隱專員的執(zhí)法能力,及加重違反私隱的罰則”。身為專員,他們這樣建議也是因為深知《個人資料(私隱)條例》和個人資料隱私專員公署的不足,主要在于:一方面,個人資料私隱調(diào)查報告不具有約束力。另一方面,個人資料隱私專員監(jiān)管權力有限。面對有企業(yè)違反個人資料私隱條例,私隱專員只能要求機構改善,勸告無效后才會提出檢控。在面對有可能要提出檢控的違規(guī)事件時,專員就要將案件的調(diào)查交給警方處理,他也沒有代表市民向違規(guī)者申索的法定權力。
究竟要不要賦予私隱專員刑事檢控違例機構和個人的權力?要不要硬化法律防線,對個人信息侵權者苛責嚴重的刑罰?對這些問題的爭論,其實從信息成為一種商品,互聯(lián)網(wǎng)繁榮以來,都沒有停止過。只要合意自由、信息自由的商業(yè)精神和個人安寧安全隱私人權保護的沖突在既定的社會發(fā)展中沒有得到很好的平衡,以上兩個問題都不會很容易得出確定的答案,總之,變數(shù)在兩組價值的沖突與協(xié)調(diào)中長久存在。
但是,無論《個人資料(私隱)條例》和個人資料私隱專員公署對個人信息保護的力度和范圍變與不變,或者拋卻兩者的貢獻完全不談,個人信息受到侵犯的居民仍舊可以通過法院,借由其他民事侵權的訴訟因由,間接但是有力地保護自己的權益。不能忽略的是,其實《個人資料(私隱)條例》第六十六條已經(jīng)規(guī)定:“任何人可以向違反規(guī)定的資料使用者提出民事索償”,也就是說不管“個人資料私隱專員的法定權力和職能”、“罪行和制裁”這兩個方面是不是朝著強硬化發(fā)展,個人信息受到侵犯的居民都可以通過兩種民事訴訟救濟自己的權益!
(作者系香港城市大學法學碩士)