(2013年8月13日)個人資料私隱專員公署(「公署」)抽查了60款由本港開發的智能手機應用程式,結果1 顯示它們的私隱政策透明度普遍不足,僅六成程式備有私隱政策聲明,絕大部分都沒有提供充足的資訊解釋程式讀取手機上哪些資料以及目的。
這次抽查是為響應「全球私隱執法機關網絡」(Global Privacy Enforcement Network)2 的全球聯合行動,目的為檢視資料使用者在網上收集及使用用戶個人資料的做法是否具足夠的透明度。公署聯同18個私隱執法機關選定在今年5月6日進行抽查。鑑於智能手機應用程式在香港十分普及,公署集中審視程式有否提供私隱政策;如有,是否易於查找和易於閱讀。公署於5月7日宣佈抽查行動開始3 。
公署選取了60款由本港程式開發商編寫的最受歡迎應用程式進行研究,以檢視其私隱政策聲明的透明度、程式慣常讀取的資料以及對用戶構成的潛在私隱風險。抽查的60個樣本(54個為免費程式)當中,來自Apple App Store 和 Google Play Store的各佔一半 ,包括遊戲、旅遊、娛樂、品味及飲食等16個類別。
私隱政策透明度不足
智能手機用戶常因處理日常生活和工作所需,而於手機儲存多種私人資料,即使未必所有資料均符合《個人資料(私隱)條例》下「個人資料」的定義,開發商宜採納公署就擬備私隱政策聲明 4 所建議的良好行事方式,向用戶說明如何處理個人資料和/或保障私隱的安排。程式開發商/供應者如要收集和使用程式用戶的個人資料,須依從私隱政策透明度的原則,為用戶提供方便瀏覽、易於閱讀和易於明白的收集個人資料聲明。
副個人資料私隱專員張如萌今日在新聞發佈會公佈抽查結果時指出:「抽查結果顯示 ,手機應用程式的私隱政策透明度普遍強差人意 (見表一),60款程式中四成沒有提供私隱政策聲明或供查詢用的聯絡資料;其餘六成雖然備有私隱政策聲明,全部都只在程式的網站上提供,絕少有解釋程式讀取手機上每項資料的目的為何,有個別程式更待用戶安裝後才顯示私隱政策。雖然法例沒有訂明私隱政策的展示方式,但公署建議的做法是在用戶安裝程式時或之前,在安裝程式的頁面上展示私隱政策聲明。」
絕大部分的私隱政策並非為有關程式而編寫,而只是程式開發商或供應商網站上交代申請成為會員或瀏覽網站的私隱政策聲明。一成多程式的私隱政策聲明編排上有問題,例如程式用中文編寫,但卻只提供英文版的聲明。其中一款程式的私隱政策聲明長達292行,但用戶在網站以每次八行的形式瀏覽。
表一: 私隱政策透明度
|
私隱政策 |
程式數目(百分比%) |
|
沒有解釋程式讀取每項資料的目的 |
35 (97) |
|
並非為該程式而編寫 |
33 (92) |
|
與應用程式採用的語言不一致或編排非易於閱讀 |
4 (11) |
用戶不知情被讀取資料
結果亦發現,應用程式會查閱手機的私人資料種類各有不同,被抽查的60個程式,可查閱一至八項私人資料不等。遊戲程式普遍讀取的資料數量較多 (見表二) 。
表二:可被手機應用程式讀取的私人資料/使用功能
|
讀取資料種類 |
程式數目 (百分比%) |
|
手機獨特識別碼 |
44 (73) |
|
定位位置 |
34 (57) |
|
用戶登入不同程式的帳號 |
21 (35) |
|
手機正在執行的應用程式 |
13 (22) |
|
使用手機攝影功能或麥克風 |
10 (17) |
|
SMS/MMS 訊息 |
8 (13) |
|
通話紀錄 |
6 (10) |
|
通訊錄 |
6 (10) |
|
日誌內容 |
1 (2) |
雖然有些人會認為讓程式讀取一些非個人身份識別碼的資料無傷大雅,但用戶應留意 ,不同程式讀取零碎的資料後,資料可能會被整合,而經整合後的資料對個人私隱造成一定程度的風險。舉例說,程式甲收集了某君的手機獨特識別碼和定位位置,程式乙則讀取了其手機獨特識別碼和手機內儲存某君的社交網帳號。即使某君沒有在社交網「打卡」(即利用智能手機的定位功能在社交網站分享自己身處的位置),若兩個程式收集的資料經過整合和串連,便可得知其社交網帳號的行蹤。
公署建議
張如萌女士建議手機程式開發商參考公署發出的《保障個人資料私隱:流動應用程式開發商及其委託人須知》(www.pcpd.org.hk/tc_chi/resources_centre/publications/files/apps_developers_c.pdf) ,減少讀取不必要的資料,以及因應程式的運作方式和需要撰寫私隱政策。開發商應向用戶清楚交代程式會否讀取手機上的資料,讀取何種資料﹑原因和方式,讓用戶衡量,作出知情的決定。
公署正就其中十款潛在私隱風險較高的應用程式作出跟進,以協助相關開發商或供應商遵從《個人資料(私隱)條例》的規定。另外,公署已去信其餘50款程式的開發商建議他們如何改進其程式的私隱政策聲明透明度。
公署亦提醒智能手機用戶在安裝應用程式前應查明其私隱政策。在安裝程式後,若運作系統許可,應不時檢視他們的權限設定,限制程式讀取不必要的資料,如地理位置資料。用戶如對程式有懷疑,便應移除可疑和不常用的應用程式以減低資料外洩的風險。
智能手機用戶可登入公署的「網上私隱要自保」專題網站:www.pcpd.org.hk/besmartonline,了解如何在使用智能電話和應用程式時保障個人資料。
-完-
1詳見《智能手機應用程式抽查報告:私隱政策透明度》www.pcpd.org.hk/tc_chi/resources_centre/publications/files/mobile_app_sweep_c.pdf
2「全球私隱執法機關網絡」由各地的私隱執法機關組成,宗旨是透過國際合作維護個人資料的私隱權。
3詳見新聞稿:私隱專員公署抽查本地開發的智能手機應用程式私隱政策 www.pcpd.org.hk/chinese/infocentre/press_20130507.htm
4 詳見公署出版之《擬備收集個人資料聲明及私隱政策聲明指引》 www.pcpd.org.hk/chinese/files/publications/GN_picspps_c.pdf