香港“八达通”出售市民私隐风波

最近几年，内地的个人资料泄密事件常有发生。目前，香港也爆出一宗类似事件：与香港市民日常生活息息相关的八达通公司，多年来将200多万客户资料转售其他公司，非法获利达4400万港元。

事件传出后，全港哗然，舆论也开始认真讨论现今社会存在已久的一大问题：市民的私隐欠缺保障。

八达通的出卖

对于700多万名香港人来说，八达通卡实在是再熟悉不过了。作为香港最通用的电子收费系统发行的智能卡，八达通卡自1997年开始使用以来，从最初只应用在巴士、铁路等公共运输工具上，已陆续扩展至其他行业，包括商店、食肆、停车场等业务的付费，也包括用于学校、办公室和住所的通行卡。小小一张卡，早已成为大部分港人不可或缺的电子货币。

直到2009年3月，香港已有超过2000万张八达通卡，相当于平均每人有2张八达通卡，每日交易总数也超过1000万港元。

然而，香港市民怎么也没有想到，与自己如此息息相关的八达通公司，竟然会将客户数据转售进行牟利。

此事由今年6月而起。其时，八达通公司宣布香港市民未来可在深圳使用八达通卡。在这次商业推广中，有市民发现，八达通卡的“个人资料申明”列明“在卡主不反对的前提下，公司可将其用户数据用做推广和直销”。八达通公司出售市民私人数据的情况，这才开始引起社会关注。

7月7日，八达通公司行***总裁陈碧铧首次召开记者会，强烈否认曾出售客户资料予第三者，并指收集个人数据纯为方便确认乘客使用转乘优惠。

不过，与八达通公司有业务合作的信诺环球人寿保险公司的一名前雇员随后向香港传媒爆料指出，八达通公司确实有将会员资料出售给信诺用作电话推销。他说，信诺环球人寿保险公司从八达通公司购入所有“日日赏”（八达通公司一个推广活动中的产品）的客户数据，以提高推销保单的成功率，以他为例，平均每天成功游说10名客户投保。

“工作首天，公司便告诉我，公司已向八达通公司购入240万‘日日赏’会员数据，让我们打电话推销保险，但要隐瞒自己是信诺环球雇员的身份，一定要自称代表八达通公司。数据包括客户的姓名、电话、身份证号码和出生日期。”

消息传出后，在香港社会引起了强烈的反应，当地多家传媒连篇累牍地以报道、社评等多种形式，跟踪事件进展。

7月14日，在社会舆论的强大压力下，陈碧铧终于首度承认，八达通公司将近200万名“日日赏”客户数据，提供给商业伙伴，但没有透露详情。

7月21日，香港特区个人资料私隐专员公署主动介入调查，宣布就此事展开听证。

7月26日，听证会完结，八达通公司才进一步披露，公司自2002年开始就将用户数据转售给6家公司，2006年起更向包括信诺在内的两家保险公司出售近200万名客户的个人信息，非法获利4400万港元。

其后，八达通董事会召开特别会议，宣布接受陈碧铧辞职、确立回归电子货币的业务方向，并把出卖客户个人资料所得4400万港元利润捐给慈善团体公益金。

随着八达通公司道歉及陈碧铧下台，八达通公司出售市民私隐风波终于暂告一段落，但市民私隐被转售***利事件之后却愈揭愈多。

8月12日，香港金融管理局发表的调查报告就指出，6家银行过去5年曾把客户资料转移至保险公司，其中5家银行承认透过“卖料”获利，逾60万市民受影响。涉及的银行约占全港25家银行四分之一。

八达通不过冰山一角

事实上，像八达通“出售客户资源”的行为，在香港商业界一向很普遍。有互联网市场推广公司负责人向本刊记者坦言，不少电讯商、网络商、银行、信用卡公司、超市积分奖赏机构等，都掌握大量客户个人资料，成为赚钱的一大来源。

“它们会通过跟其他商业机构合作，向客户推广产品或服务。如某某超市积分奖赏卡，会跟某保险公司合作，以该超市积分奖赏卡名义，向客户推广保险信息;又或掌握大量车主资料的自动缴费公司，有停车场或汽车用油公司欲取得其客户资料作推广大家就会用商业伙伴形式合作。”

该名人士说，由于这些机构拥有大量客户资源，有商业机构甚至会主动通过中介公司取得相关个人数据，举例说，“某某电视台网站，只要登记成为会员就可看网上重温节目。有隐形眼镜公司对这网站的会员个人资料感兴趣，就会通过中介公司接触电视台，索取其25至35岁女性的个人数据。三方达成合作协议后，就由该电视台网站来出面操作，也就是说，期间中介公司跟隐形眼镜公司都不能直接接触这批客户数据，只能由该网站以其名义向客户发出推广电邮。”

他说，一般大机构或连锁集团，都用以上较“正常”及合乎私隐保障法规的做法，但像八达通公司般，私下向第三方出售客户个人资料，则太过明显了。

一旦个人资料被非法售出，房产、保险经纪、信用卡公司、财务规划师等，就会经常来电话关心一下客户的近况。“你好，请问是不是×小姐？本公司有一个免费的美容疗程让你试用……”促销电话的渗透力，近年在香港已到达惊人地步，上至特首这样的高官下至小市民，近年均备受促销电话骚扰。

消费者黄先生对本刊记者举例说，曾在内地公干时越洋接获促销电话，他礼貌地表示现身在内地并拒绝接听有关促销内容后，竟被对方咒骂“祝你客死异乡”并挂线，烦厌之外，令人为之气结。

就连香港特首曾荫权，也是受害者之一。一个著名案例是，2006年，曾荫权在云南考察，与时任云南省省长徐荣凯会面。期间，曾荫权裤袋中的手提电话突然响起。曾荫权挂断电话后，另一个电话又于半分钟后响起，曾荫权不得不把电话关掉。

徐荣凯见状即问，会否有要事？曾荫权只得腼腆地说：“没有没有！是香港卖广告的！”引得哄堂大笑。后来，据曾荫权的随从人员透露，原来曾荫权几乎每天下午5时多，就会接到促销电话，准时得很！

台湾立法将成榜样？

客户资料历来是各大商家必争之物。个人资料可瞬间被大量收集、储存及发放，不当或不小心的处理可能导致大量数据外泄，令当事人蒙受损失。有见及此，香港1996年成立了个人资料私隐专员公署，并在同年12月开始实施《个人资料（私隐）条例》（以下简称“私隐条例”），以保护市民私人隐私。

不过，香港资深大律师、立法会议员汤家骅批评，今次的八达通事件，显示虽然《私隐条例》第66条已规定“任何人如因资料搜集者或持有人违反条例的规定而蒙受损失可获赔偿”，但该条文所指的条例规定只局限于个人数据储存及记录之有关规定，而并非指违反私隐权所引起之损失。而《私隐条例》第13条更清楚订明任何数据使用者不依循核准实务守则的条文，本身不会令违规者负上任何民事或刑事法律责任，因此该条例对保障私隐权而言实际是形同虚设。

他指出，现时很多商业机构与八达通公司一样，均会在与消费者订立之合约中加注前者可随意使用消费者之个人数据的条文。对此，香港的另一条保护消费者权利法例――《不合情理合约条例》第五条规定：“就任何货品销售合约或服务提供合约而言，如其中一方是以消费者身份交易，而法庭裁定该合约或其中任何部分在立约时的情况下已属不合情理，贝怯庭可拒绝强制执行该合约。”

然而，这一条例对保障消费者的私隐权效用实在不大：一、要求消费者对庞大商业机构如八达通提出诉讼是不切实际的;二、即使有消费者愿意承担打官司的风险，亦只能要求法庭裁定合约中容许商业机构利用消费者私隐数据牟利之条文为没有法律效力，但最终在没有法律保护私隐权下，消费者仍会有相当困难证咀商业机构破坏私隐的行为属违法以及本^权益应受保障;三、一般私隐权不能以金钱衡量其价值，要消费者自证蒙受损失是相当困难的事。由此可见，特区法例对保障私隐权实在存在一个非常大的漏洞。

汤家骅认为，要堵塞这漏洞，特区***府应首先修订《私隐条例》，把破坏私隐列作违法行为，并赋予私隐专员提出民事或刑事之检控权。其次，特区***府应实时通过一条全面保障消费者权益之法例，并赋予消费者委员会代消费者提出检控及诉讼之权力。

7月上旬，香港******民协对“八达通出卖市民私隐数据”事件进行问卷调查，通过电话成功访问349位市民。受访者中，70%同意将侵犯私隐列为刑事罪行，93%同意增加私隐公署的法定权力，向违反私隐的人士或公司提出检控。

香港信息保安公司Websense亚太区技术经理谭伟基则认为，台湾以较严厉的法例保障私隐，值得香港借镜。

台湾今年通过的《个人信息安全法》（被当地简称为“个资法”），为市民私隐提供双重保障：首先，企业若要出售客人个人资料予第三者，须先得到当事人许可;其次，购得个人资料以作促销者，也须向被推销者公开资料来源，违例者可被罚款。

根据数据显示，企业若违反“个资法”，须就每件侵私隐事件赔偿500至2万元新台币（约100-4000元人民币）予受害人。台湾另有法例规管类似八达通的电子货币，规定发行机构不得把持卡人数据给予第三者作商业用途，违者可被罚逾14万港元。

早在去年年底，香港***制及内地事务局已完成检讨实施超过14年的《个人数据（私隐）条例》的公众咨询，但至今未就咨询结果提交立法会。

8月1日，***制及内地事务局官员明确表示，当局将在今年秋季就私隐条例检讨提出一系列的立法建议，加强保障市民私隐。当中包括考虑引入民事甚至刑事责任，要求企业保障市民私隐。当局也会积极考虑授权私隐专员公署，为市民提供法律上的援助，向滥用市民个人资料的企业追讨赔偿，并研究加强罚则。

也有当地商界人士认为，保护公民私隐，法律当然必不可少，但企业的自律尤为重要。如果不能唤醒其企业良心，而让公司仅仅遵照法律的最低要求处理市民的个人数据的话，钻法律漏洞的变通手法一样会层出不穷。

转载请注明出处学文网 » 香港“八达通”出售市民私隐风波