區塊鏈及資料保護的未來情況

為了應對個人資料擴散所帶來的私隱及安全問題,一項以《一般資料保障規例》作為第一響的新資料保護法規正在全球嚴格實施。本文探討為何單憑該等措施不足以解決有關問題,以及網絡科技所導致產生的問題,為何亦需要藉它來解決—若我們的法例容許的話。

問題所在

我們許多人都是從使用電郵開始。首先,我們需要開設個人帳戶和設定密碼,而為了方便緣故,我們從那時開始,便委託他人代為儲存及維護我們的個人資料。接下來,便是網絡銀行、零售服務、酒店預訂網站、社交網絡、手機程式的興起。最後,我們生活中的幾乎每一種商業或社會關係,都是透過互聯網來處理,而當中的每一個項目,都需要設定用戶名稱和密碼,以及一連串的冗長個人資料。這對於那些在沒有手機的年代生活過的人來說,改變不可謂不大,但對於年青一代來說,這一切都是理所當然。

所有這些資料都需要找地方儲存,但存放於何處呢?可能在另一個國家,又或是在其他一些國家。很多時候,即使是負責處理該等資料的機構,它們也無法確定這些資料儲存在什麼地方、有多少個複本、有哪些人可以接觸它們?這是因為現代網絡科技的發展,使得資料容易被複製和傳送至千里之外,而不受國界的影響;另一方面,將資料儲存在一個固定的地方,所涉費用高昂,且會帶來不便。

資料是有價值的—這不僅是對其擁有者,也是對其他為了經濟收益、政治目的、偷竊,甚至為了造成實質傷害而使用它們的人而言。有價值的個人資料大幅擴散,會帶來重大的風險,就如近期的事件所顯示的情況般。WannaCry 及 Equifax所發動的網上攻擊,在頻密性和嚴重性來說都有所增加,欲透過取得個人資料而獲利的犯罪行為湧現。然而,這亦反映了以收集和運用個人資料為主的正當業務的蓬勃發展,當中尤以谷歌和臉書最為突出。但令人感到困擾的是,這些正當業務也產生了潛在的私隱和資料被濫用問題,正如「劍橋分析」醜聞所顯示的。在該案中,有5000萬個臉書檔案中的個人資料,據說被用來影響美國2016年總統選舉的選民。

香港是遭受網絡攻擊的全球熱點之一。許多重大事情的發生,從來沒向監管機構或傳媒舉報,原因是《個人資料(私隱)條例》(第486章)並沒有規定資料使用者必須舉報違規事件,而保持緘默仍是現今社會的一貫態度。不過,香港也曾經報導過一些受人矚目的事件,包括香港寬頻網絡一個已停用的資料庫被黑客入侵,當中儲存了38萬名客戶的資料,而儲存了大約22萬名人士的個人資料的旅行社資料庫亦成為網絡攻擊的目標。個人資料私隱專員(下稱「私隱專員」)透露,他們所接獲的有關資料洩露的通報,在2017年上升了接近20%。

新一代的資料保護法規

為了應對此等局面,全球正在推行一輪新法規,賦予使用、操控或處理個人資料的人士更嚴格的保安責任。這趨勢的其中一個最明顯例子,就是2018年5月25日起生效的歐盟《一般資料保障規例》。

《一般資料保障規例》的實施,顯示對以往的歐洲資料保障法規的重大收緊。儘管它是一項歐洲法規,但基於以下三個主要因素,該規例的影響力(連同許多令人憂慮之處)遍及全球:

  1. 它具有域外效力。即是說,非歐盟企業(包括香港企業)如果向歐盟的居民提供商品或服務,或監控歐盟居民的行為,皆須遵守《一般資料保障規例》(第三條)。
  2. 它有別於《私隱條例》。《私隱條例》不須就資料洩露作出通報,但《一般資料保障規例》規定,如果發生資料洩露,資料控制人須於72小時內給予監管機構通知,而所洩露的資料假如會對資料當事人的權利和自由構成重大風險,便同樣須給予資料當事人有關通知(第33及34條)。
  3. 最令人關注的,是違反《一般資料保障規例》的制裁: 罰款2000萬歐元,又或是最高可達一個機構於上一個財政年度在全球的全年營業總額的4%,以較高者為準。《一般資料保障規例》假如是在「劍橋分析」事件發生前已生效,臉書有可能會被判罰款19億美元—這是英國資訊專員辦公室根據英國1998年資料保護法所處的50萬英鎊罰款的幾近3000倍(這已是該法例下的最高額罰款)。

《一般資料保障規例》的其他重要規定還包括:限制將資料移離「歐洲經濟區」,以及「被遺忘的權利」—亦即是在某些情況下要求將資料刪除的權利。

全球其他司法管轄區亦正在收緊其資料保護法規。例如,全球上網人口最多的中國(人數大概為7億7200萬)已於去年6月制定一項新的網絡安全法規來規管其網絡空間。雖然國際媒體傾向從國家安全層面來檢視該法例,但當中其實有許多條文是反映了《一般資料保障規例》的規定,包括對資料的收集和使用加強監控,以及規定如發生資料洩露,便必須通知資料當事人和監管機構。訂立強制性資料洩露通報責任的亞太司法管轄區,還包括南韓、台灣、菲律賓、印尼及澳洲。

香港現時雖然仍未進行有關改革,但現任個人資料私隱專員黃繼兒在2018年4月指出,隨著《一般資料保障規例》的生效,現在是香港檢討《私隱條例》的適當時候。

法規的局限

新一代資料保護法的更嚴格規定(尤其是《一般資料保障規例》下的重罰和域外效力),應可促使處理私人資料的人員以更負責態度面對其工作。但人們仍然關注到,這些法規是否能夠單獨解決上述問題?尤其是:

  • 資料擴散背後的科技和商業力量仍然存在—簡而言之,資料是有價值的,而且比以往任何時候都更易於被複製和傳送。由於有越來越多商業和政府機構收集及儲存具有價值的個人資料,並將其製成多份,因而導致產生更大的風險。
  • 儘管《一般資料保障規例》可在域外實施,但在實際操作上,它難以對在歐盟以外的違規者強制執行。為了處理這一問題,《一般資料保障規例》規定處理歐盟居民資料的機構必須委任在歐盟的代表,但不難預見這項規定將備受廣泛蔑視。
  • 現時已有跡象顯示,《一般資料保障規例》的遵規成本對許多小型企業來說實在太高,以致它們難於負擔—尤其是那些需要處理大量個人資料的科技企業。
  • 在今天這個相互聯繫的世界,《一般資料保障規例》及中國《網絡安全法》的跨境資料轉移限制,看來將會寸步難行,亦未能洞悉互聯網的穿越國界能力。

既然如此,有何實際解決方法呢?

區塊鏈可作為白武士

對許多人來說,區塊鏈技術與資料保護之間的關連並不明顯。它所涉及的,難道不是加密貨幣嗎?

區塊鏈技術的根源可追溯至比特幣—比特幣的發明人中本聰(一般認為只是假名)在一份2008年的白皮書中,首次將它描述為是一種支撐虛擬貨幣的技術。然而,這項技術的使用範圍,已從加密貨幣擴大至一系列的其他應用程式,而其中一項是加強資料的安全性。

要探討箇中的道理,便必須了解該技術如何運作。區塊鍊是一種在一個電腦網絡上進行數以千次複製(稱為「節點」)的分散式公共分類帳。該分類帳會定期更新,其複本會作出比對以求達成一致,並確保其不會被篡改,而它亦不受任何單一實體所控制。此外,加密技術的使用,可確保資料能夠安全地傳送到正確收件人的手中而不會被攔截。

這些功能對虛擬貨幣而言是十分重要的。透過它們,比特幣得以安全地從某個人轉往另一人,無需依賴單一名獲信任的第三方(例如銀行),而交易分類帳亦可確保比特幣不會多於一次被複製和使用。然而,虛擬貨幣其實只是一項數碼訊息,而相同的技術,亦可以用來安全地傳送任何資料。

在資料保護方面,區塊鏈技術的關鍵特性具以下重大優點:

  • 分散式

正如「劍橋分析」醜聞所顯示的情況般,將數以千份計的敏感資料複本儲存於一個集中式的平台,必然會導致問題出現。區塊鏈技術的核心概念是分散化:區塊鏈通常是在一個點對點的網絡上運行,而這意味著,它並沒有一個可直接取閱用戶私人資料的中央實體,因而減少資料被收集和出售的機會。此外,它並沒有一個脆弱的集中點,故可降低網絡攻擊或人為錯誤導致資料洩露的風險。

  • 加密技術

加密技術主要用來保護在區塊鍊網絡上的資料私隱。如果某人同意與某組織分享其個人資料,相關的解密鑰匙便會傳送給接收者,讓他將加密的資料解鎖。與大多數現代儲存系統(這些系統都設有根級管理員接觸權限)不同的是,它沒有任何「後門」供第三方通過以接觸用戶的資料;除了解密鑰匙的持有者外,任何人都不能將加密的資料解鎖。

  • 不可改變性

某項資料記錄一旦被儲存並分佈於各個節點,各資料群組便會被構建成為區塊,並按時間順序相互鏈接於一起,而這些區塊若維持不變,任何人幾乎不可能對現有資料作出任何更改。與傳統資料庫相比,區塊鏈能夠輕易識別和追踪任何資料運用,因而能提供更大的可靠性和安全性。

實際應用

區塊鏈技術正被迅速用來協助管理和驗證個人資料。例如,愛沙尼亞自2012年以來,一直在其各個資料庫使用這項技術,其範圍遍及國家衛生、司法、立法、安全和商業代碼系統。伊利諾州也在進行各項區塊鏈倡議測試,當中包括一個出生資料庫,讓企業和政府部門可要求以加密方式取閱某些資料(例如姓名、出生日期、性別或血型),從而核實和驗證公民身份。

區塊鏈技術的其中一個最明顯用例,是在醫療記錄安全的關注方面。全球各地存放醫療記錄的大型集中式資料庫,往往成為黑客的攻擊目標;例如在本年7月,新加坡有大約150萬人的個人資料(包括新加坡總理李顯龍在內)從該國最大的醫療機構資料庫中被盜取。類似的資料洩露事件如果在香港發生,違法者在《私隱條例》下可能只會受到極為有限的懲處(儘管受害者可向法院提出民事申索)。該等懲處是否會因應全球的發展趨勢而有所加強,這仍然有待觀察;然而,無論所施加的懲處是多麼嚴厲,但也無法彌補已造成的傷害。

科技人員現時正在研發一些區塊鏈項目,以期從源頭解決這些問題。他們正在構建新的基礎設施,以期讓醫療記錄儲存在「許可」的區塊鏈中,並只讓不對外公開的群組中的成員有權接觸相關資料。隨著這項技術的開發,醫療記錄將會予以加密,任何人不能直接透過區塊鏈取得這些資料,而用戶只獲告知該等記錄的實際所在。特定成員如要接觸該等資料,亦須按需要而在範圍和時間上受到限制。與傳統資料庫相比,它提高了資料管理的安全性(如屬傳統資料庫,個人資料可直接從某一個集中點取得)。此等及類似的發展,將讓人們更有效地掌管其個人資料,並降低資料擴散的風險。

小心為上

區塊鏈技術對資料私隱和安全風險的緩解,雖逐步為人認識,但它在使用上是否會遵循新一代的資料保護法規,卻並未受到太大的關注。也許不足為奇的是,當中確實存在一些潛在困難—《一般資料保障規例》的草擬,是針對較為傳統的集中式資料庫,而區塊鏈在性質上卻是分散的。從表面上看,我們難以將為了維護數以千計的聯網電腦上的資料複本(雖然已經加密)而使用的技術,與為了監控資料在何處及由誰儲存而制訂的法規相互調和。此外,區塊鏈資料庫的不可改變性,與《一般資料保障規例》下的「被遺忘的權利」也似乎相互抵觸—儘管第17條賦予人們權利,可在某些情況下要求資料管控者將其個人資料刪除,但從區塊鏈將資料刪除,如非不可能的話,也存在一定的技術上困難。雖然所記錄的資料,可藉著補充而予以更新和修訂,但以往的記錄卻是不可刪除。

解決技術與法規之間的衝突的一個可行方法,是將資料儲存在區塊鏈以外的地方,並只在鏈條上保留其存在和完整性的證明(稱為「哈希」)。例如,當構建了區塊鏈來維護上述的醫療記錄後,只有哈希會儲存在該鏈條上,而實際的醫療記錄將會穩妥地儲存在「鏈條範圍以外」的醫院資料庫中,從而減輕其擴散程度,並確保在必要時可將有關資料刪除。然而,這項技術是否足以確保監管合規,這仍須有待觀察—即使是一個哈希,也有可能構成個人資料 —因此它確實會帶來其他在合規上的挑戰。

儘管監管機構現正努力更新資料保護法來應對現代風險,但法規與技術之間的鴻溝從未有像現今般巨大。立法者現時所面對的挑戰,是如何追上正在迅速發展的科技,並同時確保法規的制定不會給急切需要的科技發展帶來妨礙。

Jurisdictions: 

RPC,商業糾紛部高級律師

Ben是RPC香港辦事處有經驗的商業訴訟和仲裁律師。他的專業專注於涉及網絡法,數據保護和金融科技的複雜糾紛,往往具有跨境成份。

RPC,實習律師

Rico Chan是RPC的保險和商業糾紛小組的實習律師,處理涉及合約和股東糾紛、僱傭、專業疏忽、保險賠償、國際仲裁、監管諮詢、債務追償、清盤程序和中國相關的訴訟等之廣泛爭議事項。他對網絡法律及數據保護特別感興趣。