日期: 2017年5月13日
私隱專員回應有關DUCaller手機應用程式收集用戶通訊錄資料並整合成資料庫
謝謝你的查詢,有關發現智能手機應用程式DU Caller的搜尋電話功能及涉嫌收集用戶通訊錄並整合成資料庫事宜,公署曾於2月10日及5月12日回覆傳媒的查詢如下:
· 在未了解所提及的智能手機應用程式及其具體運作詳情,公署不會作出評論。
· 一般而言,若應用程式的服務性質是讓用戶辨識不明來電號碼以確認及封鎖騷擾電話,程式所提供的功能便應與其服務直接相關及按實際需要而披露適度的個人資料(如只讓用戶輸入已知的不明來電號碼以確認該號碼是否屬騷擾電話)。根據傳媒所提供的資料,該應用程式可讓用戶輸入個別人士的姓名,便能顯示在其資料庫內相關資料人士的電話號碼,此功能作為程式用以辨識不明來電或封鎖騷擾電話的用途並非直接相關及有實際需要。除非應用程式開發商已獲得有關資料當事人自願給予的明示同意讓程式披露其個人資料予程式用戶,否則有可能違反《個人資料(私隱)條例》(「條例」)下有關使用資料的保障資料原則[1]。
· 此外,即使是個人智能手機用戶,作為資料使用者,在披露或轉移資料當事人(如手機內通訊錄之聯絡人)的個人資料之前,必須確保有關披露或轉移並不構成新目的(即當初收集用戶的個人資料時擬使用的目的以外的目的或並非直接相關的用途上),除非已獲得有關資料當事人自願給予的明示同意,否則有可能違反條例下有關使用資料的保障資料原則。
· 若應用程式開發商在未經用戶的同意下收集用戶的通訊錄以作整合成資料庫作商業用途,則有可能違反條例第64條[2]有關披露未經資料使用者同意而取得的個人資料。
· 應用程式開發商須切實可行地提供予用戶有關其個人資料私隱政策及實務,包括持有個人資料的種類及資料的使用目的,在收集用戶之個人資料時或之前提供收集個人資料聲明。該私隱政策聲明應針對相關應用程式而提供具體及準確的描述,並應定期檢討其內容,確保其相關性及準確性。如聲明過於含糊不清,應用程式開發商可能會被視作對程式收集及查閱資料的目的有所隱瞞。
· 相關條例罰則方面:
o 若
違反保障資料原則,私隱專員可發出執行通知,指令資料使用者採取補救措施,以免觸犯條例的規定。不遵守執行通知即屬犯罪。違法者一經定罪,最高可被判處罰款五萬元(HK$50,000)和監禁兩年。如罪行持續,可處每日罰款一千元(HK$1,000)。
o 若
違反條例第64條的規定,即屬刑事犯罪,最高刑罰是罰款一百萬元(HK$1,000,000) 和監禁五年。
· 《個人資料(私隱)條例》(「條例」)並無域外法律效力,因此若所涉及的流動應用程式的營運商並非在香港,除非該程式開發商或營運商(作為資料使用者)能夠在香港控制個人資料的收集、持有、處理或使用,或能夠從香港行使該項控制,否則條例並不適用。縱使如此,私隱專員與其他國家及地區的私隱執法機關一直保持緊密聯繫和合作,在跨境資料私隱執法方面,互相分享資訊及提供協助,因此若發現有相關的違反條例規定的情況,私隱專員會考慮聯絡相關地區的私隱執法機構以作跟進。
· 私隱專員再次提醒巿民及機構「保障、尊重個人資料」的重要。私隱專員再次提醒巿民要懂得「自保」,在下載任何應用程式,又或透過應用程式提供個人或他人的資料時,應先清楚了解其私隱政策和收集個人資料聲明,了解程式會查閱、上載或分享你智能手機內的哪些資料。同時要了解有關條款是否綑綁式或過於寬鬆,是否提供有意義的選擇,或是否涉及不公平的收集及使用個人資料。
· 市民在下載任何應用程式前,要留意有關程式開發商或營運商是否屬正當運作,包括有否提供其公司名稱、登記地址、運作地點、聯絡資料等,以及負責處理查閱及改正資料要求的人的姓名(或職銜)及其聯絡資料。
· 應用程式開發商亦要「自管」,提供易於閱讀的私隱聲明和具實質意義的選擇予其用戶,並按法例和指引採納良好行事方式,保障用戶的個人資料,以贏取商譽和用戶的信任。公署將繼續透過推廣、監察及監督條例的遵從情況,根據條例及以往法庭的判決公正執法,以及不時與世界各地的私隱執法機構溝通、聯繫和合作,保障個人資料私隱。
· 巿民若發現個人資料被不當地收集或不恰當地使用,可考慮向涉嫌不當收集或濫用其個人資料的人士/團體提出質詢和交涉;若不滿對方回應,可向公署作出投訴。公署在收到投訴後會接觸投訴人及被投訴者,就個案作出跟進處理,因應個案情況決定是否進行調查。若涉及刑事罪行,公署會轉介警方進行刑事調查。
公署最近推出的「
網上私隱有法保」教育動畫短片,提供了手機流動應用程式相關的保障私隱實務錦囊。公署亦發出《
保障私隱—明智使用智能電話》的資料單張供巿民參考,另可瀏覽公署的「網上私隱要自保」專題網站
www.pcpd.org.hk/besmartonline/ 取得更多保障個人資料私隱貼士。 此外,公署為協助開發商研發保障私隱的應用程式,發出《
保障個人資料私隱:流動應用程式開發商及其委託人須知》,重點指出流動應用程式開發商在設計及開發流動應用程式前應考慮該等程式對個人資料私隱的影響;另刊發《
開發流動應用程式最佳行事方式指引》,就有關法律的規定提供簡便易明的概覽,並介紹如何以貫徹私隱的概念開發產品和服務。
(如需引述,請寫香港個人資料私隱專員黃繼兒)
[1] 保障個人資料第3原則(使用):除非得到資料當事人自願和明確的同意,個人資料只限用於收集時述明的目的或直接相關的目的。
[2] 條例第64條訂明,在未經資料使用者同意下,任何人出於以下意圖披露取自該資料使用者的某資料當事人的任何個人資料,即屬刑事犯罪:
• 以獲取金錢上或其他財產上得益,不論是為了令該人或其他財產上得益;或
• 導致該資料當事人蒙受金錢上或其他財產上損失;
又或在未經資料使用者同意下,如任何人披露取自該資料使用者的某資料當事人的任何個人資料,而該項披露導致該資料當事人蒙受心理傷害,不論其意圖如何,亦屬犯罪。