保障個人私隱的責任邊界

源栢樑 香港工程師學會前會長

近來有不同機構因各種原因有資料被洩漏，特別是懷疑其中有個人的資料被機構的外判服務商員工非法盜取，繼而被人上載至「暗網」，事件引起社會高度關注。作為負責任的機構，保障個人私隱是一項極重要的課題，不能妥協。然而，我們在釐清事件責任的同時，亦應理性分析機構在過程中所作出的種種盡職盡責。

必須清晰強調，本文分析絕非為一些機構開脫，若有機構存在系統管控漏洞、員工培訓缺失、外判審查流於形式等問題，理應承擔起相關的責任。整體而言，在查找責任的同時，大家亦應該思考當中責任邊界的問題。每當發生洩露個人私隱事件，輿論大都習慣形成「事件發生即歸責機構」的慣性判斷。然而，從斟酌資訊科技治理的專業規律與香港《個人資料（私隱）條例》的立法原意來看，這種以結果定過錯的思維並不完全客觀。機構的責任邊界，應以「是否落實合理切實的防控措施」為準，而非承擔「杜絕一切外洩可能」的無限責任。

筆者作為專注於國際資訊科技及電腦工程教育素質標準化、審核與對接的「首爾協定」（Seoul Accord）主席，在世界上13個會員地區的教育實踐中了解到，資訊安全的防控有其專業邊界。任何機構的管控體系，只能防範常規風險、規範流程操作，無法完全杜絕第三方包括外判服務商的刻意違約或個人故意違規的行為。這一邏輯相信與香港有關私隱條例中「合理地切實可行」的法定原則高度契合——明白到法例從未要求機構為所有突發的人為故意行為買單，當中並非放寬責任標準，而是考慮到符合資訊科技系統獨特性與現實運作的客觀規律。

假設大家家中要進行緊急維修時，我們一般都會小心看管來自外判服務商的工人，避免他們「亂來」。但如果不幸遇上心懷不軌的維修工人，在施工時利用工作上所需便利的操作，繞過監控，偷走物品，到底應該責怪戶主沒有做好實時、分秒貼身的保安，抑或要強烈譴責工人的居心、失德以至不法的行為，這個值得思考？

在資訊科技專業標準下，見到盡責機構通常會落實多項核心防控，例如建立符合專業規範的權限管控、執行操作留痕與審計機制、定期開展員工培訓、對外判服務商進行合規審查。當機構完整執行上述措施，便已履行專業與法例層面的應有責任。此時或硬性將外洩責任歸咎於機構，看來查找既無法例依據，因此相信也會偏離資訊科技治理的專業邏輯。

縱觀各類資料外洩個案，絕大部分根源在於兩類獨立於機構管理體系的過錯行為：一是外判服務商的違約失責，二是個別人員的故意違規。保障個人資料私隱是社會核心共識，而理性歸責同樣是法治社會的重要基石。唯有堅持以專業規範與法例為準繩，區分機構管控責任與第三方、個人的獨立過錯，才能在守護市民私隱的同時，維護公平合理的問責秩序，讓責任真正落到實處。