港數據保護政策須奮起直追
今天是5月25日,這天之前很多人不斷收到跨國公司或機構的電郵,通知最新的私隱保護政策。是日特別之處在於歐盟《一般資料保護規則》(GDPR)正式生效,並取代原本的《資料保護條例》。
今天是5月25日,這天之前很多人不斷收到跨國公司或機構的電郵,通知最新的私隱保護政策。是日特別之處在於歐盟《一般資料保護規則》(GDPR)正式生效,並取代原本的《資料保護條例》。
筆者二人曾合作進行大數據研究,對數據保護格外留意,因此特別研讀過GDPR。這個被稱為史上最嚴格的資料保護法規,雖然只在歐盟國家生效,但只要一間公司或機構(包括非牟利組織及政府機構)採集並持有之個人資料中有來自歐盟公民的資料,就會受到該法規的影響。由於互聯網無邊界的特性,實際上絕大部分跨國企業或機構有關個人資料保護政策,都需要因應該法規而作出修訂和完善。
以早前本港一間電訊公司洩漏大量客戶資料的事件為例,如果該事件發生在5月25日以後,且用戶資料中涉及歐盟國家公民的資料,那些公民所在國家的監管機構即可援引GDPR來懲罰該公司。機構如果違反了該法規,最高處罰可高達2000萬歐羅或其上一個財政年度全球營業總額的4%(取較高者為準)。相比之下,本港現行的《私隱條例》仍是參考歐盟1995年設定的《資料保護條例》。
有人或擔心嚴格的資料保護會阻礙大數據研究,但筆者認為現實恰恰相反。「大數據」在本港雖備受關注,但申請把數據用於科研時仍阻力重重。因數據由不同的公司或機構持有,他們出於不同原因,聲稱自己的數據不可或不宜分享,惟實際上他們並未真正諮詢過這些數據的主體,亦即每個個體公民,後者對於數據持有者如何使用自己的數據完全一無所知。
如果有像GDPR這樣清晰界定權責的新法規,保護個體公民作為數據主體的權益,公民將有權要求數據持有者解釋自己的數據將會得到怎樣的分析和使用,了解數據在使用後可以給自己或社會帶來怎樣的利弊;一旦出現問題,也可依法保護自己的權益,追究數據持有者的責任。事實上,歐盟國家不僅是對資料保護最嚴格的地方,也是把大數據分析用於改善公共服務、醫療衞生等最先進的地方。
參考全球經驗及教訓,大數據的採集與利用需要更嚴格的數據保護政策,才能取信於民,造福於民。可以預見,隨着GDPR實施,更多國家和地區也需要着手制定更嚴格的資料保護法規和政策。希望本港不僅大力投資硬件,在政策法規方面也不能落後。
Source: http://startupbeat.hkej.com/?p=59489