港府應為市民設「虛擬ID」

評論版 2013/05/04

分享:

David Webb較早前與個人資料私隱專員公署的交鋒,引起有關限制使用香港身份證號碼的爭議。

他本身並非資料的原收集人,只是透過公開途徑收集個人資料,並將之在網上重貼,如這被視為「與當初收集資料的原意並無直接關連」,那任何人都不應引述公眾媒體(如報刊)所登載的他人姓名,因姓名肯定是可用以識別個人身份,而這通常不符「當初收集資料的原意」。更何況所謂「原意」到底是誰的「原意」,也值得商榷。

不清楚Webb先生收集該些資料時有否同意遵守特定的使用者守則,包括不可再披露或轉載,若有,他或違反合約協議,這在很多即使沒有私隱保障法的地區(如美國)亦屬違法,跟私隱權無直接關係。在制定了法例來保障數據庫權利的地區,他亦可能會受到非議。但即使如此,他觸犯的也應只是知識產權保障法例,而非私隱權。

這帶出一個有趣問題:為何在網上重貼他人的身份證號碼會帶出私隱問題,但引述姓名就沒問題?兩種資料不是同樣能用來識別一個人的身份嗎?如認為姓名不足以「識別」一個人,那加上照片應可以吧。但為何一般人會認為轉載姓名及照片沒問題?這關鍵在於工商機構使用個人資料的方法。

在香港,很少工商機構在進行交易時會接受只用姓名來識別身份,但許多機構會接受以身份證號碼來辨認身份。這令披露身份證號碼風險大增,因你的身份證號碼有可能被盜取,用來冒充你的身份或查取你的個人資料。這主要危險在於身份盜竊(identity theft),而非私隱。若非存在身份證號碼被盜用的風險,根本很少人會在意別人知道自己的身份證號碼。

身份證辨認身份 盜用風險增

因此,假如我們能保障作交易用途的身份識別資料,那便能基本上消除市民對私隱問題的憂慮。在這方面,我們可向信用卡業界借鑑——商戶在接納信用卡付款前,會即時將信用卡資料傳給發卡機構所設立的中央資料庫核實,以確認信用卡的有效性。商戶本身不需保留任何信用卡資料。發卡機構只需短短數秒便能完成核實程序。若察覺有詐,發卡機構可終止有關信用卡,然後向持卡人發出新卡。由於信用卡戶口可「重設」,持卡人所承受的風險相對降低。

然而,香港身份證號碼並不能「重設」,但我們可以為每人建立一個「虛擬身份」(virtual Identity),在不披露身份持有人任何真實個人資料下,用於認證或其他現實生活中的交易。

信用卡系統能運作,只因有特定的中央資料庫來核實信用卡和提供付款保證。若建議的虛擬身份系統要發揮作用,同樣需要一個類似的中央資料庫。在這方面,政府自然是肩負這個重任的不二之選,因所有人在現實世界的「身份」都是政府核實並發出的。

政府可設立一個中央資料庫,載有真實身份與虛擬身份之間的聯繫,並連接場外(如工商或其他需核實用戶身份的機構)的終端機,以用作實時核實身份。

虛擬身份可棄用 免遭利用

這系統好處是人們能夠「重設」自己的身份。今天,個人私隱的最大問題,是工商機構收集大量個人資料,包括個人喜好、嗜好,過往交易等,然後將這些資料配對這些人的真實身份,由於這通常是暗中進行,一般人難以察覺已被暗中監察。但假如人人都使用虛擬身份,便不用擔憂受到這種暗中進行的「監察」,因我們可向政府申請棄用原來的虛擬身份,然後建立一個新身份。

重設虛擬身份的過程不必具透明度,需要的只是每次有人出示虛擬身份時,接納方都可核實來者有「合法身份」而且可被有效地追蹤。這是政府能透過其中央資料庫提供的實時保證。

要解決私隱問題引起的激烈論辯,上述的(虛擬)身份管理系統,也許是最切實可行的方法。現代社會的私隱問題,源於科技昌明,令編製和濫用個人資料和紀錄易如反掌。我們沒有理由不以科技之道還治科技之身,以解決科技所帶來的問題。

筆者指出,若每人建立一個虛擬身份,在不披露身份持有人真實資料下用於認證或交易,可有效保障個人私隱。(資料圖片)

撰文 : 許佳龍 資訊/商業統計及營運管理學系副教授

緊貼財經時事新聞分析,讚好hket Facebook 專版