日期: 2017年10月27日
私隱專員回應有關共享單車的手機應用程式事宜
謝謝你的查詢,有關共享單車的手機應用程式事宜,公署現綜合回覆如下:
· 一般而言,任何應用程式開發商/營運商(作為資料使用者)在香港控制收集、持有、處理或使用(包括披露和轉移)該應用程式用家的個人資料時,須遵守《個人資料(私隱)條例》(「條例」)下的規定,包括六項保障資料原則,其中就保障資料第1原則(收集目的及方式)及第3原則(使用)方面:
o 應用程式開發商/營運商應以合法和公平的方式收集用家的個人資料,而其目的應直接與其服務有關,並應在收集用家個人資料時或之前(如在程式安裝時)提供《收集個人資料聲明》,告知他們該程式會收集/使用/處理甚麼資料,以及資料可能會轉移給哪類人士。開發商/營運商亦應就其程式所提供的功能及服務,按實際需要收集用家的相關個人資料,不應超乎適度。
o 當應用程式開發商/營運商在披露或轉移用家的個人資料之前,必須確保有關披露或轉移並不構成新目的(即當初收集用家的個人資料時擬使用的目的以外的目的或並非直接相關的用途上),除非已獲得有關用家自願給予的明示同意。
· 不同的應用程式開發商/營運商所提供的程式功能及服務各有不同,收集用家個人資料的目的、要求用家允許的權限以至資料轉移的對象亦各異。為協助他們研發保障個人資料私隱的應用程式,私隱專員發出《
保障個人資料私隱:流動應用程式開發商及其委託人須知》,重點指出流動應用程式開發商在設計及開發流動應用程式前應考慮該等程式對個人資料私隱的影響;另刊發《
開發流動應用程式最佳行事方式指引》,就有關法律的規定提供簡便易明的概覽,並介紹如何以貫徹私隱的概念開發產品和服務。其中:
o 在公平的原則下,私隱專員鼓勵應用程式開發商/營運商考慮採用以權限為基礎的查閱模式,即應用程式應允許用家選擇個別資料發放權;並應考慮設立設定畫面,顯示用家對每類資訊所給予的允許權限,並容許用家其後更改/取消個別之查閱權限。
o 而收集用家的個人資料是否適度,則要視乎個別該手機應用程式所提供的功能及服務,是否按實際需要而收集相關的個人資料,當中需衡量的範疇包括:
讀取/收集每類資料的目的是否為該手機應用程式的性質/功能提供支援;
要達到這些目的,是否須要讀取/收集有關資料;
讀取敏感程度較低的資料能否也達到這些目的。
若須要傳輸/上載資料,則需衡量的範疇包括:
- 傳輸/上載資料的目的;
要達到這目的,是否須要傳輸/上載有關資料;
以傳輸/上載資料以外的方式能否也達到同一目的。
(例如:共享單車的營運商若要透過手機短訊作用家登記認證或確認租賃服務等,便需要取得應用程式用家的同意使用及存取手機短訊的權限。)
· 條例並沒有禁止應用程式開發商/營運商轉移或披露用家的個人資料予其他持份者,但相關的開發商/營運商必須在所提供的《收集個人資料聲明》中,就可能轉移/披露資料的內容上
清楚述明從用家所收集的個人資料可能會向甚麼類別的人轉移或披露,並應避免使用寬鬆廣泛及籠統的字眼(如避免如此陳述:「你同意我們將你的個人資料披露及轉移予本集團內的任何公司、各附屬公司及任何本集團擁有權益的公司」),以切合用家的合理期望。如聲明過於含糊不清,應用程式開發商/營運商可能會被視作對應用程式收集/使用及查閱資料的目的有所隱瞞。
與此同時,不論是轉移資料者或承轉人,若擬使用或提供應用程式用家的個人資料作直接促銷,必須告知用家其擬如此使用或提供其資料;而在將用家的個人資料首次在直接促銷中使用時,亦須告知用家,他/她有權要求在不向其收費的情況下,停止如此使用有關資料;並且除非獲得用家的同意(如屬提供個人資料,同意必須以書面作出),否則不能使用或提供有關資料作直接促銷[1]。
· 私隱專員提醒應用程式開發商/營運商及巿民「保障、尊重個人資料」的重要。應用程式開發商/營運商要「自管」,提供易於閱讀的《收集個人資料聲明》及《私隱政策聲明》和具實質意義的選擇予其用家,並按法例和指引採納良好行事方式,保障用家的個人資料,以贏取商譽和用家的信任。有關如何擬備收集個人資料聲明,應用程式開發商/營運商可參閱私隱專員所發出的
《擬備收集個人資料聲明及私隱政策聲明指引》。
· 巿民(作為應用程式用家)亦要懂得「自保」,在下載任何手機應用程式,又或透過應用程式提供個人或他人的資料時,應注意以下事項:
o 在安裝或下載應用程式前,應查明其私隱政策和收集個人資料聲明,了解程式會查閱、上載或分享你智能手機內的哪些資料,衡量資料的收集是否有需要抑或是超乎適度,同時要了解有關條款是否綑綁式或過於寬鬆,是否提供有意義的選擇,或是否涉及不公平的收集及使用個人資料,再決定是否提供你的個人資料及安裝;
o 在安裝程式後,如操作系統許可,不時檢視程式的權限設定,如有需要可限制程式讀取不必要的資料,如通訊錄和短訊資料;及
o 用家如對程式有懷疑,應移除可疑和不常用的應用程式,以減低資料外洩的風險。
· 由2017年1月1日至昨日(10月26日),公署並沒有接獲與共享單車相關的查詢或投訴。
(如需引述,請寫香港個人資料私隱專員黃繼兒)