個人資料私隱專員公署（下簡稱專員）上周公布，就雅虎香港控股向內地機關「洩漏」內地記者師濤個人資料的投訴報告，結果指投訴並不成立，主要原因是雅虎提供的IP地址並不屬私隱條例中所訂「個人資料」的範圍，而且事件並非在香港發生，已經超越專員和法例的管轄範圍。
由於事情敏感，並且已經引起國際關注，專員也不敢掉以輕心，發表長達50頁的報告詳細回應各項細節，而且為自己留着後路。專員指稱條例中有灰色地帶，有檢討必要。

筆者詳細閱讀了該份報告一遍，專員決定IP不屬「個人資料」的立論中最關鍵的一段如下：「IP地址並不包含與個人『有關』的資料，而註冊用戶的資料亦不容易地取得，例如透過公共域內的資料取得。因此，專員認為IP地址就其本身而言並不符合『個人資料』的定義。」
私隱專員說得對的，單靠IP地址不能確定對方身份，但對於一些擁有其他個人資料的機關或特權階層（如政府或警方等），只要掌握到網站的IP地址和使用資料，加上ISP的數據配合，再有一些保安單位提供的位置、地址及人流出入資料，用戶的身份絕對是唾手可得，完全可以「間接的」和「合理的」得到確認，這也解釋了為何最終師濤的身份仍被確認，香港海關和唱片商才可以向BT用戶發警告信。
所謂「註冊用戶的資料亦不容易地取得」，只是針對一般人而言，若是特權階層如中國政府或香港政府，此說完全不成立。狹義的法例詮釋，只會令私隱條例淪為特權階層的工具，對一般市民毫無保障。
專員在報告中說：「由於條例並沒有提供「間接（使用個人資料）」辨識資料的規定測試（prescribedtest）」，所以惟有由專員自行以「概念」詮釋，弄出這有違常理的「IP不屬個人資料」結論。

法律怎樣定義個人資料，最好還是交由獨立的司法機關詮釋。專員其實應將案件交由法院裁決，用普通法概念來理解「個人資料」，並成為將來可以引用的案例，而不應在承認法例指引不足（沒有規定測試）的情況下，貿然作出一個狹義的詮釋，這對公眾利益並無好處。至少，政府應全面檢討私隱條例在資訊世界中的適用情況。
侯聯貴
電郵地址：[email protected]