Skip to content

回應傳媒查詢或報道

回應傳媒查詢或報道

日期: 2017年1月20日

私隱專員回應有關一款Android手機應用程式存取過多用戶資料


(2017年1月20日)謝謝你的查詢有關一個手機應用程式疑存取過多用戶資料,如不正常地傳送IMEI、MAC(即裝置獨有的位址)、機型號、解像度、Android OS版本等至內地伺服器,其做法會否涉及私隱問題。公署的回覆如下:

 

  • 在未了解個別流動應用程式的實際運作下,公署不宜作出評論當中是否涉及私隱問題。

 

  • 《個人資料(私隱)條例》(「條例」)旨在保障個人資料方面的私隱權,因此條例是否適用,要視乎有關資料(包括由相關手機應用程式開發商/營運商持有的其他資料與有關資料作整合)是否能夠切實可行地和直接或間接地確定個別手機用戶的身份。即使相關資料符合條例釋義下的「個人資料」,仍須考慮相關手機應用程式所提供的功能及服務,是否按實際需要而收集用戶的相關個人資料且不超乎適度,方可判斷有關程式是否過度收集個人資料。

 

  • 據公署了解,Android流動應用程式可在安裝前向用戶取得權限,從而讀取用戶的流動電話內的某些資料,當中可能包括IMEI(國際流動裝置識別碼)、IMSI(國際流動用戶識別碼)、ICCID(SIM卡序號)、通訊錄及通話紀錄;至於用戶的流動電話號碼,一般而言應用程式不能在安裝後自動讀取有關資料,而須要用戶人手輸入。

 

  • 一般而言,任何在香港控制收集、持有、處理或使用(包括披露和轉移)個人資料的人士(即資料使用者),必須遵從《個人資料(私隱)條例》(「條例」)的規定,包括六項保障資料原則,其中:-

     

  • 在就記錄及保留流動應用程式用戶的資訊方面,流動程式開發商或營運商須採取所有切實可行的步驟,確保個人資料的保留時間不得超過達致原來目的的實際所需(保障資料第2(2)原則)。此外,條例第26條規定資料使用者須採取所有切實可行的步驟,刪除已不再為使用目的而需要的個人資料,除非受任何法律禁止或不刪除該資料是符合公眾利益的。根據上述保留原則及規定,流動程式開發商或營運商須於完成資料的收集目的而不再需要時,盡快將已上載或儲存於後端伺服器的相關個人資完全删除。

 

  • 資料使用(包括披露和轉移)方面,條例訂明個人資料只可用於收集該等資料時述明的目的或直接與之有關的目的。除非資料當事人自願給予明示同意,否則個人資料不得用於新目的(保障資料第3原則)。因此若流動應用程式的私隱政策及條款中列明會將用戶的個人資料轉移至香港以外的執法機構作調查之用,而用戶亦同意相關條款,則被視為得到資料當事人的同意。

 

  • 條例第33條禁止個人資料轉移至香港以外的地方的條文尚未生效。公署刊發了《 保障個人資料:跨境資料轉移指引》,鼓勵資料使用者採取指引內所建議的實務行事方式以保障個人資料,作為企業管治責任的一部分,為第33條的實施作好準備。當中第33(2)條訂明,若資料當事人以書面同意該項轉移,又或該資料憑藉條例第8部下的豁免而不受保障資料第3原則所管限,方可將資料轉移至香港以外的地方。

 

  • 條例第8部訂明豁免條文,其中第58條訂明若披露個人資料的目的是為防止或偵測罪行、又或是拘捕、檢控犯罪者,而不披露有關資料便相當可能損害該等目的,則獲豁免而不受保障資料第3原則所管限。當中所指的罪行只限於第58(6)條*所訂明的罪行。

 

  • 此外,作為良好行事方式,資料使用者在將個人資料轉移至香港境外之前,應採取有效辦法(例如合約規範),以確保個人資料在境外仍得到如在香港般的保障。

 

  • 條例並無域外法律效力。若所涉及的流動應用程式的營運商並非在香港,除非該程式開發商或營運商(作為資料使用者)能夠在香港控制個人資料的收集、持有、處理或使用,或能夠從香港行使該項控制,否則條例並不適用。縱使如此,私隱專員與其他國家及地區的私隱執法機關一直保持緊密聯繫和合作,在跨境資料私隱執法方面,互相分享資訊及提供協助,因此若發現有相關的違反條例規定的情況,私隱專員會考慮聯絡相關地區的私隱執法機構以作跟進。

 

  • 私隱專員提醒巿民,在下載任何手機應用程式時,應注意以下事項:
    • 在安裝或下載應用程式前,應查明其私隱政策,了解程式會讀取哪些資料,衡量資料的收集是否有需要和超乎適度才決定是否安裝;
    • 在安裝程式後,如操作系統許可,不時檢視程式的權限設定,如有需要可限制程式讀取不必要的資料,如地理位置資料;及
    • 用戶如對程式有懷疑,應移除可疑和不常用的應用程式,以減低資料外洩的風險。

 

私隱專員刊發《開發流動應用程式最佳行事方式指引》,介紹如何以貫徹私隱的概念開發產品和服務。這份指引亦提供詳細的檢查清單,為程式開發商闡述設計保障私隱的程式時須考慮的因素,並提供最佳行業方式建議。公署亦發出《保障私隱—明智使用智能電話》的資料單張,讓巿民知悉有關使用智能電話的私隱陷阱,從而避免儲存在智能電話內的個人資料有所損失或遭到未獲授權的查閱。更多有關保障個人資料私隱的貼士,可瀏覽公署「網上私隱要自保」專題網站。

 

*(58(6)條當中所指的罪行包括:
(a)
香港法律所訂的罪行;或
(b) (如個人資料是在與香港和香港以外地方的法律合作或執法合作有關連的情況下持有或使用的) 該地方的法律所訂的罪行。)

 

 (如需引述,請寫個人資料私隱專員黃繼兒)

 

- 完 -