Skip to content

新聞稿

新聞稿 - 香港個人資料私隱專員促請物聯網裝置生產商提高私隱保障措施的透明度

日期: 2017年1月24日

香港個人資料私隱專員促請物聯網裝置生產商
提高私隱保障措施的透明度

(2017年1月24日) 根據香港個人資料私隱專員公署(「公署」)一項就智能健身腕帶的抽查行動結果顯示,相關的生產商以至類似的物聯網裝置生產商需改善其與消費者就裝置的個人資料私隱保障及保安措施方面的溝通。

香港個人資料私隱專員(「私隱專員」)黃繼兒表示:「公署留意到智能健身腕帶及類似的物聯網裝置在香港日趨普及,預期將會有不少企業(包括初創企業)加入這個市場。透過進行是次抽查行動,公署旨在探究智能健身腕帶及物聯網裝置對私隱帶來的挑戰及影響,以提高相關生產商對個人資料私隱的意識。我們亦希望能藉此教育使用相關裝置的用戶應如何保障自己的個人資料。」

是次抽查行動為響應「全球私隱執法機關網絡(Global Privacy Enforcement Network, GPEN)」於今年舉行的全球聯合行動。香港的抽查結果與全球抽查所得的相近,皆顯示物聯網裝置生產商不太著重向消費者闡明所提供的私隱保障及保安措施。私隱專員促請智能健身腕帶的生產商改善相關溝通情況,令消費者能評估對其私隱的影響,並採取所需措施以保障自己的個人資料。黃繼兒指出:「物聯網裝置既能提升人們的生活質素,但亦能收集、產生及分析用戶的資料,在現今大數據年代衍生各項私隱關注議題。因此,生產商在研發裝置及其支援的流動應用程式(「應用程式」)時,應採納以『貫徹私隱的設計(Privacy by Design)』的做法,以保障及尊重消費者的個人資料。這樣不但能在消費者之間建立信任和商譽,同時亦能創造商機。」

抽查結果

抽查行動於2016年4月至6月期間進行。公署抽查了五款本地製造的智能健身腕帶及其支援的程式。主要結果如下:
  1. 五間本地智能健身腕帶生產商中,只有兩個 (40%) 在其網站或支援的應用程式向消費者提供私隱政策,與全球檢測結果 (41%) 相近。
  2. 五款本地智能健身腕帶中,沒有任何智能健身腕帶向消費者提供足夠的資訊,說明消費者的個人資料會儲存於甚麼地點,或會否聘用第三者儲存資料。在全球檢測結果方面,32%被檢測的物聯網裝置有向消費者提供此些資訊。
  3. 只有一間本地智能健身腕帶生產商 (20%) 在其私隱政策中向消費者承諾會使用保安措施保障個人資料。這相比全球檢測結果得出的數據 (51%) 為低。
  4. 只有一間本地生產商 (20%) 在其私隱政策中向消費者提供資訊,說明如何刪除已被收集的個人資料。在全球檢測結果方面,28%被檢測的物聯網裝置有向消費者提供此資訊。
  5. 只有兩間 (40%) 本地生產商向消費者提供聯絡資料,以供他們查詢與私隱相關的事宜。這相比全球檢測結果得出的數據 (62%) 為低。

公署的建議

根據抽查行動得出的結果,私隱專員刊發全新的《保障、尊重個人資料 — 明智使用物聯網》圖鑑,向物聯網裝置用戶提供以下六項小貼士,教育他們如何掌控自己的個人資料:
  1. 細閱私隱政策 – 決定是否購買物聯網裝置前,應細閱其私隱政策,了解相關裝置將會收集什麼資料、收集相關資料是否有必要,以及收集所得的資料將會如何被使用、披露及/或分享;
  2. 使用獨立帳戶 – 使用獨立的電郵地址以註冊個別物聯網裝置的帳戶,並避免將物聯網裝置的帳戶與其他私人帳戶結連(如社交網站帳戶);
  3. 檢查私隱設定 – 檢查物聯網裝置的預設私隱設定,了解對私隱構成的影響。如有存疑,應停止分享或上載資料,並作出合適的設定更改;
  4. 設定高強度密碼 – 切勿使用物聯網裝置的預設用戶名稱及密碼。應自行設定複雜的密碼,以免被他人輕易猜中(例如密碼不應包含姓名、出生日期);
  5. 適時更新固件和安裝保安修補程式 – 須定期更新及增補物聯網裝置固件,並從可信賴的網站(如產品的官方網站)下載固件及保安修補程式;及
  6. 棄置或轉售前清除個人資料 – 在將物聯網裝置棄置或轉售前,應刪除裝置內的帳戶資料及其他個人資料。

公署亦建議物聯網裝置生產商:

  1. 以簡單語言向消費者提供私隱政策,及協助他們輕易地在私隱政策中找出重要資料;
  2. 在私隱政策中清楚列明收集個人資料的類別、收集目的、個人資料的潛在承轉人,以及為保障資料而採取的保安措施;
  3. 採取「貫徹私隱的設計」做法以減少資料的收集;
  4. 在物聯網裝置及其支援的應用程式中採用私隱侵犯程度最低的預設設定(Privacy by Default);
  5. 採取足夠的保安措施以保障在傳輸中及儲存於資料庫的個人資料;
  6. 若支援的應用程式能查閱與物聯網裝置的主要功能不直接有關的資料(例如位置資料及電話簿等),應容許消費者可選擇拒絕提供有關資料;
  7. 提供清晰的指示,讓消費者能自行刪除在物聯網裝置、其支援的應用程式及遠端儲存媒體(例如生產商的後端伺服器)內的個人資料;及
  8. 提供聯絡資料(例如聯絡人、電話號碼、電郵地址及辦公地址),讓消費者查詢有關私隱事宜,及向他們提供適時回應。
本抽查報告現可於公署網站下載: 
www.pcpd.org.hk/tc_chi/resources_centre/publications/surveys/files/sweep2016_c.pdf



-完-