2019年6月开始的一系列事件中,香港反对派使用非常规手段攻击警方与有关对立方。在街头对峙以外,利用网络环境“起底”个人信息与数据成为了反对派的主要手段之一。本文梳理了近期相关事件中侵犯个人信息的情况以及警方的回应,并对香港隐私保护法律的相关规定及暴露的问题进行了剖析。

一、 侵犯个人信息,通讯软件、客服人员成泄露来源

从现有报道来看,反对派泄露个人隐私信息的主要对象包括香港警察、不同立场议员以及翻墙对其进行攻击的大陆网民。

香港警察在这一系列事件中同反对派街头对峙,遭遇了反对派有针对性的信息泄露。据纽约时报报道,香港反对派创建了开源数据库在网上公布警察的个人信息,包括手机号、配偶姓名、就读过的高中等。 2019年8月22日,香港警务处网络安全及科技罪案调查科警司官员在记者会上透露,共有1614名警察及家属的个人资料被发布在网上,包括姓名、身份证号码、生日、住址、照片等。 对总数约三万警员的香港警队来说,这一比例已经不容忽视。

Telegram作为一款标榜数据安全性、使用点对点加密、私密对话模式下不将对话记录数据存放在服务器的即时通讯软件,在此次事件中成为反对派收集和泄露个人信息的主要工具。Telegram创始人Durov声称在过去的六年里,他们做到了未向包括政府在内的第三方转移任何数据。然而对话信息之外,通过注册手机号、账号与个人身份的对应关系可被认定(这一漏洞在Telegram最新发布补丁中将得到更正。) Telegram上最主要的人肉并公布警察信息频道之一,“老豆揾仔”的用户增长速度迅猛,近日已达近十万人,其管理员已被香港警队拘捕,并将以教唆谋杀警察为由提起刑事诉讼。

在Telegram等软件的群组中,绝大部分的信息泄露来源于分散的个体用户对警察及其家属进行的人肉“起底”,但一部分信息泄露来源涉及企业的商业活动,使相关企业的数据安全遭到强烈质疑。据称,国泰航空员工在一个Telegram聊天组群中贴出了两张标记为“HK POLICE FOOTBALL”(香港警察足球队)的人员航班行程信息。 虽然国泰航空作出回应将进行调查,声明此事不代表公司立场,但考虑到2018年国泰已有过大规模泄露客户信息的事件,其对用户数据安全的保障使人心生疑虑。

警察之外,立法会议员何君尧亦被在社交平台贴出办事处地址、电话、儿子的信息,乃至父母墓地的地址。其办事处和父母墓碑随后即遭遇暴力打砸。

随着舆论的升级,个人数据泄露逐渐超越了香港本地的范围,甚至波及到了大陆一侧。中国“帝吧”网民在攻击香港社交网络平台过程中遭遇反对派人肉,其真实姓名、身份证号、家庭住址、照片、手机号、QQ号、支付宝等个人信息大范围被泄露在Telegram频道上。香港反对派更使用其个人信息填报参军、信仰宗教及意图前往艰苦地区服役等。

二、 香港警方回应与香港《个人资料(私隐)条例》

面对泄露警察信息的威胁,香港警方反应迅速有力。根据BBC报道,日前香港警方已先后拘捕共计16名涉嫌泄露警察个人信息的嫌犯。被拘捕者据称将警察的姓名、电话、住址、相片及家庭信息等发布于网上,并使部分警员及其家人遭遇死亡威胁。其中一人试图对警方存放警员信息的内部网络进行攻击未果。 一名被捕者通过违法方式,以警员的个人资料去申请贷款及其他服务,涉嫌欺诈罪。另有两人因发布煽动他人进行“起底”人肉警察信息的激进言论被捕。

香港法律对个人隐私保护相对充分,早在1996年即制定了《个人资料(私隐)条例》,并于2012年进行了重要修订。香港设有亚洲仅有的个人资料私隐专员公署,其具有高度的独立性,不需要向最高行政长官负责和报告,也不受相关任何机构的领导,仅负责《个人资料(私隐)条例》的施行。公署2018年接获1890起个人资料泄露投诉,较2017年上升23%。 根据该条例,“未经同意下披露个人资料”可最高处以一百万元港币的罚款并监禁五年。首起因违反条例被判监禁的案例发生于2015年。

《个人资料(私隐)条例》中六项保障资料原则中第四项要求个人数据应有合适的安全措施保护。然而前述国泰公司事例表明,诸多企业的数据安全防护措施可能存在严重缺陷。2012年,私隐条例的修正案引入了通知和同意两项要求:商业机构在使用或转移客户资料时必须事先通知客户知情,且得到客户明示同意(无回复的情况下不可视为默许)后才可以使用。部分雇员如何接触到用户的个人信息,用户对其资料传输与使用的同意是否遭遇企业滥用等问题均有待深挖。相比分散的个体“起底”,商业活动在现代经济中涉及流通的个人信息数量巨大,如何规管企业等商业组织,确保用户信息安全防止泄露,成为香港政府必须要面对的问题。

三、 跨境数据泄露的规制——法律空白

香港反对派侵犯境外个人隐私的行为,暴露了相关法律方面的空白。香港私隐条例第64条规定,“披露未经数据用户同意而取得的个人资料”结合“该项披露导致该当事人蒙受心理伤害”属刑事罪行,可处监禁及罚款。理论上,第64条的文本并未限制受害者身份或犯罪地,因此泄露境外人士隐私信息亦触犯私隐条例。但实践中尚未有人被控触犯第64条,也就没有香港同其他司法辖区合作移交泄露境外人士隐私的香港居民的实践先例。

条例修订在今日看继续推进的可能性不大,但即便假设相对较近的修例版本通过,移交泄露大陆网民个人隐私的香港居民的可能性也不大。此前为回应商界的担忧,香港政府在草案中主动剔除了可移交46项罪名中的9项商业有关罪名,包括唯一可能与前述隐私数据泄露相关的“涉及非法使用电脑的罪行”。现存剩余潜在可移交罪名中,并不包括泄露隐私相关。

一系列香港事件中,可以看出反对派愈来愈倾向于使用隐私数据泄露作为一种典型的非常规不对称对抗手段,利用泄露的隐私与相应的网络暴力来对其对立面施加压力。这在强制力和公众舆论能力存在巨大差距的类似情况下,将成为不断成长的趋势。而事件涉及各方跨境势力的复杂性,也考验香港隐私保护法律与时俱进解决新问题的能力。前述规制跨境数据泄露这一空白将得到何种处置,值得关注。

四、 泄露稳私作为不对称攻击武器的法律边界

根据8月28日香港个人资料私隐专员(Privacy Commissioner for Personal Data, Hong Kong)发布的新闻简报,香港反对派利用泄露个人信息对香港警队的攻击已经波及香港警察的未成年子女:

“近日有公众人士搜集警务人员妻子或女朋友的个人资料,继而于网上平台图文并茂,或举办所谓「选举」活动,并带恐吓、骚扰、性侵犯或仇恨描述的帖文。另一方面,亦有公众人士煽动他人在网上有系统地对警务人员的子女进行「起底」,试图以列表方式披露他们的详细个人资料(包括姓名、身份证号码、地址、电话号码、社交平台帐户号码、学校名称、班级、家长姓名)。涉案的帖文肯定是违法,使当事人特别是未成年人士或妇孺蒙受伤害。”

在网络、媒体等公开场所披露对方个人信息、特别是涉及家庭、子女等隐私信息,是一种典型的不对称武器,亦即在无力、无法就诉争事项进行正面对抗的情形下,采用泄露对方隐私的方式进行不对称攻击,意图造成某种恐吓或实质性伤害。香港街头运动中反对派往往带着口罩或面罩,意图隐瞒自己的身份,却通过各种途径对香港警察或不同政见人士的真实身份以及个人信息进行曝光,甚至波及大陆人士的相关隐私。同时,这一措施有时也为政府甚至法院等有权机关使用,例如法院对于“老赖”身份的曝光,意图压迫逃避执行法院判决的被告履行法律义务;以及政府管理部门对于违反交通规则、不文明行为的公示等。

在所谓移动互联网、5G或者大数据时代,信息的数量和流动性呈现爆炸性增长,这也使得侵犯个人信息作为一种不对称性攻击武器,其使用成本更低而杀伤力更大。这使得在立法、执法与司法层面提升个人信息保护显得尤为重要。现代文明社会中,无论持何种立场或诉求,均应以合法的沟通方式进行对话。采用泄露对立方个人信息的极端手段施加压力,在隐私保护法律相对成熟,已有二十余年实践的香港是违法之事,违法者将为其行为承担相应的法律后果。同时,这一系列数据泄露事件暴露了香港企业与政府在数据安全方面的部分缺陷,对未来香港的数据安全监管发展与改进具有参考价值,企业也应进一步加强个人信息保护的合规工作。(Austin/Rangi/Jet,本文来自作者投稿。)

声明:本文来自个人信息与数据保护实务评论,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。