Skip to content

回应传媒查询或报道

回应传媒查询或报道

日期: 2016年12月10日

私隐专员回复Android手机应用程式收集个人私隐的敏感资料事宜


谢谢你的查询,公署曾于2016年12月6及8日回复相关的传媒查询如下:

 

  • 在未了解个别流动应用程式的营运及操作详情下,公署不宜评论个别的程式或程式开发商/营运商有否违规;公署亦不会评论个别国家或司法管辖区的法例或规定。

 

  • 《个人资料(私隐)条例》(「条例」)旨在保障个人资料方面的私隐权,因此条例是否适用,要视乎有关资料(包括由相关手机应用程式开发商/营运商持有的其他资料与有关资料作整合)是否能够切实可行地和直接或间接地确定个别手机用户的身份。即使相关资料符合条例释义下的「个人资料」,仍须考虑相关手机应用程式所提供的功能及服务,是否按实际需要而收集用户的相关个人资料且不超乎适度,方可判断有关程式是否过度收集个人资料。

 

  • 据公署了解,Android流动应用程式可在安装前向用户取得权限,从而读取用户的流动电话内的某些资料,当中可能包括IMEI(国际流动装置识别码)、IMSI(国际流动用户识别码)、ICCID(SIM卡序号)、通讯录及通话纪录;至于用户的流动电话号码,一般而言应用程式不能在安装后自动读取有关资料,而须要用户人手输入。

 

  • 一般而言,任何在香港控制收集、持有、处理或使用(包括披露和转移)个人资料的人士(即资料使用者),必须遵从《个人资料(私隐)条例》(「条例」)的规定,包括六项保障资料原则,其中:-

 

  • 记录及保留流动应用程式用户的资讯方面,流动程式开发商或营运商须采取所有切实可行的步骤,确保个人资料的保留时间不得超过达致原来目的的实际所需(保障资料第2(2)原则)。此外,条例第26条规定资料使用者须采取所有切实可行的步骤,删除已不再为使用目的而需要的个人资料,除非受任何法律禁止或不删除该资料是符合公众利益的。根据上述保留原则及规定,流动程式开发商或营运商须于完成资料的收集目的而不再需要时,尽快将已上载或储存于后端伺服器的相关个人资完全删除。

 

  • 在资料使用(包括披露和转移)方面,条例订明个人资料只可用于收集该等资料时述明的目的或直接与之有关的目的。除非资料当事人自愿给予明示同意,否则个人资料不得用于新目的(保障资料第3原则)。因此若流动应用程式的私隐政策及条款中列明会将用户的个人资料转移至香港以外的执法机构作调查之用,而用户亦同意相关条款,则被视为得到资料当事人的同意。

 

  • 条例第33条禁止个人资料转移至香港以外的地方的条文尚未生效。公署刊发了《保障个人资料:跨境资料转移指引》,鼓励资料使用者采取指引内所建议的实务行事方式以保障个人资料,作为企业管治责任的一部分,为第33条的实施作好准备。当中第33(2)条订明,若资料当事人以书面同意该项转移,又或该资料凭借条例第8部下的豁免而不受保障资料第3原则所管限,方可将资料转移至香港以外的地方。

 

  • 条例第8部订明豁免条文,其中第58条订明若披露个人资料的目的是为防止或侦测罪行、又或是拘捕、检控犯罪者,而不披露有关资料便相当可能损害该等目的,则获豁免而不受保障资料第3原则所管限。当中所指的罪行只限于第58(6)条*所订明的罪行。

 

  • 此外,作为良好行事方式,资料使用者在将个人资料转移至香港境外之前,应采取有效办法(例如合约规范),以确保个人资料在境外仍得到如在香港般的保障。

  

  • 条例并无域外法律效力。若所涉及的流动应用程式的营运商并非在香港,除非该程式开发商或营运商(作为资料使用者)能够在香港控制个人资料的收集、持有、处理或使用,或能够从香港行使该项控制,否则条例并不适用。纵使如此,私隐专员与其他国家及地区的私隐执法机关一直保持紧密联系和合作,在跨境资料私隐执法方面,互相分享资讯及提供协助,因此若发现有相关的违反条例规定的情况,私隐专员会考虑联络相关地区的私隐执法机构以作跟进。

 

  • 与个人资料私隐相关的跨境规管议题乃现时国际间经常关注及讨论的题目,公署会适时及定期检讨条例,并聆听各持份者的意见,及在适当情况下就相关议题与其他地区的私隐执法机构携手合作。

 

  • 私隐专员提醒巿民,在下载任何手机应用程式时,应注意以下事项:
    • 在安装或下载应用程式前,应查明其私隐政策,了解程式会读取哪些资料,衡量资料的收集是否有需要和超乎适度才决定是否安装;
    • 在安装程式后,如操作系统许可,不时检视程式的权限设定,如有需要可限制程式读取不必要的资料,如地理位置资料;及
    • 用户如对程式有怀疑,应移除可疑和不常用的应用程式,以减低资料外洩的风险。

 

私隐专员刊发《开发流动应用程式最佳行事方式指引》,介绍如何以贯彻私隐的概念开发产品和服务。这份指引亦提供详细的检查清单,为程式开发商阐述设计保障私隐的程式时须考虑的因素,并提供最佳行业方式建议。公署亦发出《保障私隐—明智使用智能电话》的资料单张,让巿民知悉有关使用智能电话的私隐陷阱,从而避免储存在智能电话内的个人资料有所损失或遭到未获授权的查阅。更多有关保障个人资料私隐的贴士,可浏览公署「网上私隐要自保」专题网站。

 

 

*(58(6)条当中所指的罪行包括:
(a) 香港法律所订的罪行;或
(b) (如个人资料是在与香港和香港以外地方的法律合作或执法合作有关连的情况下持有或使用的) 该地方的法律所订的罪行。)