物聯網:從香港法律的角度檢視相關法律問題

「物聯網」泛指安裝了傳感器和致動器,與互聯網連接的實體物件,當中包括:可穿戴裝置(例如可對使用者的活動進行追踪的健身裝置);智能家居產品(例如可遙控的監控系統及燈光);以及,建立了智能交通管理系統(其道路及車輛均安裝了傳感器)的智能城市。事實上,許多報告顯示,目前正在使用的物聯網裝置數以十億計,而隨著科技的進步,其數量持續地以倍數增長。這些裝置產生了數量龐大的資料,同時帶來了機遇與法律挑戰。

本文概述香港物聯網所涉及的潛在法律問題與潛在法律責任問題(尤其聚焦於資料私隱與資料保安等議題方面),並就如何將風險盡量減低提出相關建議。

物聯網及資料私隱法例

香港目前並沒有專門的物聯網法例,故與物聯網相關的法律問題,均須參照香港一般法例的規定。倘若涉及資料私隱問題,便應當根據《個人資料(私隱)條例》(第486章)(以下簡稱《私隱條例》)的一般規定與「保障資料原則」(“DPP”)來處理。雖然私隱專員曾發出各項與透過互聯網收集和使用個人資料相關的指引,但目前仍無任何與物聯網相關的具體指引。

資料保安

從監管的角度看,資料保安仍然是人們最關注的物聯網裝置問題。透過物聯網裝置收集資料,有可能會因其所面對的各種風險(包括:網絡攻擊、惡意軟件散播病毒、黑客攻擊、未獲准許的監視等)而導致所收集的資料受損。資料外洩不僅會導致蒙受金錢上的損失(例如身份被盜所導致的損失),也會導致蒙受危及生命的傷害,甚至是死亡(例如,所外洩的資料,涉及諸如心臟起搏器等維持生命裝置),因此會帶來非常嚴重的後果。

在香港,《私隱條例》的「保障資料原則」第4項規定,資料使用者必須採取所有切實可行的步驟,以確保個人資料受到保障,而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。一家公司倘若聘用資料處理者(例如雲端供應商或第三方資料中心),它必須採取合約規範或其他方面的保障措施,以確保資料的安全。這項舉措顯然十分重要,因為根據《私隱條例》第65(2)條的規定,公司須為其資料處理者所作出的作為或所從事的行為承擔法律責任。

雖然違反「保障資料原則」並不構成刑事罪行,但私隱專員可以向違反「保障資料原則」的資料使用者發出執行通知,倘若資料使用者不遵守該執行通知,便會構成觸犯刑事罪行,違例者首次定罪,可被判處罰款最高港幣50,000元及最長監禁兩年。

除了監管者採取執法行動外,消費者若因資料外洩而蒙受損失或損害,也可以向侵權者提出民事申索。《私隱條例》第66條規定,任何個人如因資料使用者違反《私隱條例》的規定而蒙受損害,他有權就該等損害向資料使用者申索補償;該人士若打算提出法律程序以申索補償,私隱專員可向其提供法律上的協助。根據香港個人資料私隱專員公署發表的《2015 – 16年報》,該署在這一年度共處理了14宗法律協助申請,並向其中一宗申請提供了法律協助。

美國物聯網執法案例

雖然迄今為止,香港並沒有任何涉及物聯網產品的執法行動,但不感意外的是在物聯網產品較為普及的其他司法管轄區,它們已採取了這方面的執法行動。首項已知的美國物聯網執法行動,是由「聯邦貿易委員會」(“FTC”)向保安攝像機製造商TRENDnet作出。他們以TRENDnet對其攝像機的「安全性能」作出失實陳述為由而提出檢控。TRENDnet以“SecurView”這商品名稱售銷其所生產的攝像機,用戶透過該攝像機,可以遙遠監控其家中的情況。然而,由於該項產品存在安全漏洞,以致有超過700台此類攝像機被黑客入侵。FTC最後裁定,該項物聯網產品並不符製造商所聲稱般安全,而黑客只需花少許功夫,便可以窺探許多此類攝像機所即時拍攝到的畫面。FTC的訴狀稱:「該等被窺探的即時畫面,讓用戶家裡的私人地方被曝露出來,使得無論是在嬰兒床上睡覺的嬰兒、正在玩耍的小孩、在處理日常事務的成年人,均在未獲准許的情況下被監視。」該案件於2014年達成和解,而根據相關的「同意令」,TRENDnet (除其他事項外)不得對其攝像機的安全性能作出失實陳述,並必須實行一套廣泛的保安計劃,以應對當中存在的安全隱患。

在香港,《商品說明條例》(第362章)(“TDO”)視作出商品虛假說明為刑事罪行,而這項罪行,是一項屬於嚴格法律責任的罪行,違例者一經定罪,可被處以最高罰款港幣500,000元及監禁五年。香港海關是否會遵循美國FTC的做法,就物聯網裝置的保安性能,提出與商品虛假說明有關的檢控,這仍有待進一步的觀察。我們認為,《商品說明條例》的適用範圍甚廣,因此它應可對銷售商或製造商在物聯網裝置方面所作的誇大宣稱作出規管。

資料保安建議

FTC在2015年1月發表的題為“Internet of Things: Privacy & Security in a Connected World”(《物聯網:互聯世界中的私隱與保安》)的報告書(下稱《FTC報告書》),當中載有下述六項最佳常規。儘管它們對香港並不具有約束力,但對於希望將物聯網裝置的風險減至最低程度的企業而言,它們確能提供有用的指引:

  • 作為保安設計程序的一部分,(i)進行私隱及安全風險評估;(ii)實行資料最小化的政策;及(iii)在推出相關產品前,先進行保安措施測試。
  • 為相關工作人員提供適當的保安培訓,確保保安問題能夠在有關機構內的相應責任層級中得到處理。
  • 聘用能夠維持適當安全程度,而且信譽良好的服務供應商。
  • 利用多層保安措施來抵禦對安全構成的威脅。
  • 實施接觸限制,如未經批准,不得接觸消費者的裝置、資料及網絡。
  • 在有關產品的整個生命週期持續地進行監控,並就安全隱患及最新的發展,向用戶作出通報。公司倘若決定在提供安全更新方面設定時限,便應當向消費者披露相關物聯網裝置的安全「期滿日期」(而在該日期以後,安全隱患可能會有所加深)。

告示與同意

除了資料保安外,向物聯網的使用者發出告示,以及為他們提供選擇,仍將會繼續在物聯網範疇發揮重要作用。香港個人資料私隱專員黃繼兒先生在該署於近期刊登的一份新聞稿中指出:「很多物聯網裝置亦增設各項新功能,例如追踪用家的體格及健康狀況等。換言之,不同的應用裝置或程式可在消費者不知情或未授予同意的情況下,收集及分享其個人資料。……在此等情況下,相關企業能公開其處理個人資料的政策和行事方式尤為重要,並交代其持有的資料類別和用途。」

根據《私隱條例》的規定,公司在使用資料當事人的個人資料前,必須先給予該資料當事人通知,而當他們欲將有關資料運用於新目的時,亦必須取得該資料當事人的同意。因此,當有關的物聯網裝置涉及收集和使用個人資料時,公司應當確保其自身採取所有切實可行的步驟,通知資料當事人他們將會如何使用他的個人資料,特別是「保障資料原則」第1項所規定的資料,當中包括:收集個人資料的目的、個人資料的受移轉人的類別、要求查閱該資料及要求改正該資料的權利等等。由於該告示必須在公司收集個人資料之時或之前發出,因此從事物聯網業務的公司應當確保其在收集個人資料前,先向使用者提供《收集個人資料聲明》,而在實際運作中,這可能是在啟用(或甚至是購買)該裝置的階段時提供。

私隱告示發出方式的建議

《FTC報告書》指出,由於物聯網裝置普遍會收集資料,而物聯網裝置又缺乏顯示器或用戶界面,因此會對資訊的提供構成實際障礙,以致物聯網裝置在發出告示上面對一定的困難。在知悉該等限制的情況下,該報告書提出了其他具創意及新穎的告示方式,當中包括:在銷售點發出告示;在初始安裝導向中又或是在私隱儀表板中(例如,谷歌儀表板就用戶的谷歌帳戶有關資料,為用戶提供了透明度和控制權);設計視頻教程(例如,Facebook提供了一個視頻教程,指導消費者如何透過該網站的私隱設置頁面來設訂其私隱要求);又或是貼上二維碼或類似的條形碼(在進行相關掃描後,消費者會被引導往一個上載了該公司的私隱政策資料的網站)。此外,私隱告示也可以藉著配套裝置來提供(例如,可通過一個經配對的智能手機,而無需經由物聯網裝置提供)。

對於並非針對特定用戶的物聯網裝置,相關的私隱告示需要透過公開途徑來發出,其例子包括在公共場所及私隱訊號站(指以無線傳輸方式,將資料傳送往附近其他裝置的小型裝置)張貼告示(例如,蘋果在其所有零售店中使用iBeacon技術)。

航拍機

航拍機是指以遙遠方式,由電腦或個人控制的無人駕駛飛機。此類產品目前正處於迅速發展階段。航拍機在裝上攝像機和傳感器後,可對個人私隱構成嚴重的侵害。在香港,私隱專員曾就航拍機的使用發出一項更新指引,當中提出可考慮向受影響人士發出不同方式的私隱告示,包括:使用閃燈以顯示航拍機正在進行攝錄;在航拍機貼上公司標誌及聯絡資料;以及,預先宣佈航拍機會覆蓋的地區或範圍。航拍機的使用,除了涉及資料私隱問題外,也涉及保安與安全問題。其中一個例子是:深圳警方於不久前拘捕了一名男子,他涉嫌意圖使用航拍機,滋擾一位國家領導人的訪港活動。因此,政府應在事故發生之前,先行著手處理物聯網所衍生的問題,方為上策。

結語

物聯網給我們帶來了無限機遇和好處,但在該等產品和系統廣泛投入使用以前,我們必須先行妥善處理諸如資料私隱、資料保安等法律問題,以及應對其他政策和技術上的挑戰。相關法例將會持續制訂,以趕上科技的快速發展,而未來將有可能會陸續有新的法規及指引出台,以處理物聯網所衍生的法律問題。目前最重要的,是從事物聯網業務的公司應採取積極措施,以盡量減少潛在的法律風險和責任。

Jurisdictions: 

溫斯頓律師事務所 合夥人

巫振凌律師是溫斯頓律師事務所香港辦事處的訴訟合夥人,專門處理與爭議解決、專業疏忽、金融監管、生命科學、僱傭等範疇有關的業務。巫振凌律師擁有超過15年的法律執業經驗,在資料私隱法例方面的經驗尤其豐富,當中包括網絡安全、個人資料的收集與通知、跨境資料移轉、資料洩露事故、雲端運算、直銷、網上廣告、電子監察等具爭訟性和不具爭訟性事務。

溫斯頓律師事務所 助理律師

莫沛恩律師是溫斯頓律師事務所香港辦事處訴訟部門的助理律師,專門負責處理與複雜商業訴訟、金融服務監管事宜、僱傭、資料私隱等範疇有關的業務。

莫沛恩律師在資料私隱方面的經驗,包括就整個亞太區的國際資料保護法的合規情況,向跨國企業提供意見,當中包括個人資料的收集與通知、跨境資料移轉、資料洩露事故、網絡安全、雲端運算、直銷、網上廣告及電子監察等議題。