(2014年12月15日) 個人資料私隱專員公署(「公署」)今年抽查160款由本地機構開發的熱門流動應用程式(「程式」),結果顯示這些程式的私隱政策透明度表現明顯不足,而與2013年同樣的抽查比較亦無顯著改善。
2. 今次抽查是響應「全球私隱執法機關網絡」(Global Privacy Enforcement Network)於今年五月舉行的全球聯合行動。公署聯同25個私隱執法機關抽查程式的私隱政策透明度及讀取資料的權限2。
3. 個人資料私隱專員蔣任宏表示:「要尊重用戶的私隱,透明而公開的政策是必須的。機構建立具透明度的私隱政策,讓用戶明白其個人資料在網上是如何被處理,至為重要。」
4. 「無可否認,要向程式用戶提供私隱資訊殊不容易,因為流動裝置的螢幕細小,用戶多數不會專注閱讀,但開發商遵守《個人資料(私隱)條例》(「條例」),責無旁貸。再者,以客為本的機構應該理解到,可利用程式以接觸無數的顧客、客戶和用家,若能有效地把保障私隱的訊息帶給與顧客,可以贏取他們的信任,建立忠誠的關係,這正是成功營商的基石。」
抽查結果
5. 在2013年及2014年的抽查中,透明度的評定是基於下列的指標:
a) 在安裝前,程式有否向用戶提供《私隱政策聲明》,清楚解釋該程式會如何收集、使用和披露個人資料?
b) 該程式要求甚麼權限來讀取資料,及有否解釋為何要讀取該資料?
抽查結果發現下列主要問題。
6. 首先,在抽查的程式中,大約一半提供《私隱政策聲明》。而且大部分的聲明都有不足之處,例如相關性低、難於閱讀及不易查閱。用戶若無法充分理解其個人資料會被如何收集、使用及/或披露,便不能作出決定是否下載該程式。
7. 再者,在香港的抽查結果中,大部分程式要求的讀取權限,相比於該程式的功能,調查員都認為超乎適度。
| 2014 年的抽查(總共60個程式) | 2013年的抽查(總共60個程式) | |
|---|---|---|
| 程式有提供《私隱政策聲明》 | 33個 (55%) | 36個 (60%) |
| 《私隱政策聲明》是為程式而編寫的 | 33個中有5個 (15%) | 36個中有3個 (8%) |
| 《私隱政策聲明》所用的語文與程式不同3或不易查閱4 | 33個中有2個 (6%) | 36個中有4個 (11%) |
| 提供最少一項聯絡資料(電郵、電話、地址等) | 全部60個 (100%) (但有5個開發商的身份並不能由聯絡資料中直接確定) | 60個中有36個 (60%) |
| 2014 年的抽查(香港)(總共60個程式) | 2014年的抽查(環球)(總共1,211個程式) | |
|---|---|---|
| 沒有說明會否讀取資料、哪些資料及為何讀取; 或者上述資訊並不清晰 | 42個 (72%) | 715個 (59%) |
| 與程式的主要功能相比,要求的權限可能屬超乎用家的期望5 | 51個 (85%)(總共60個程式) | 281個 (31%) (總共908個程式) |
公署的推廣及執法行動
8. 蔣任宏表示:「鑒於抽查結果顯示的私隱問題嚴重,公署會增強與業界的聯繫及公眾的教育,以確保各方均嚴謹看待私隱保障。」
9. 「是次抽查原意並非要調查個別程式是否符規或有否違反條例的要求。然而,為遏止這些不當做法繼續擴散,公署將會調查投訴的個案,並主動開展循規調查,繼而採取適當的執法行動。」
既保障私隱又受歡迎的程式(例如「我的天文台」)是可行的
10. 雖然抽查結果發現私隱政策透明度強差人意,但公署認為「我的天文台」6程式是值得參考的。該程式提供了易於理解的《私隱政策聲明》,顧及用戶的需要,說明會讀取及不會讀取的資料。而且,儘管Android版本在安裝程式時已取得位置資料的權限,但其後仍讓用戶選擇容許或不容許該程式讀取位置資料。這例子正好證明開發受歡迎、實用及保障私隱的程式是可行的。
完
1 www.pcpd.org.hk/tc_chi/resources_centre/publications/surveys/files/sweep2014_c.pdf
2 www.pcpd.org.hk/tc_chi/news_events/media_statements/press_20140507.html
4 例子:《私隱政策聲明》是在開發商的網站以小框格、每次八行的形式來展示合共126行的聲明。
5 例子:很多遊戲及財經程式需要讀取位置及手機獨特識別碼;有些遊戲要求利用手機麥克風進行錄音
6 https://play.google.com/store/apps/details?id=hko.MyObservatory_v1_0&hl=zh-hk