私隱專員公署回應有關PopVote普及投票系統的關注
強烈要求停止不公平收集個人資料及停用所涉的Telegram 通訊程式
(2017年2月13日) 香港個人資料私隱專員公署(「公署」)留意到最近傳媒報導及討論有關由「公民聯合行動」委託香港大學民意研究計劃與香港理工大學社會政策研究中心舉辦的「2017特首選舉民間全民投票」之「PopVote 普及投票系統」,當中涉及的個人資料私隱及保安情況,並要求公署澄清及發表意見。就有關活動的公開資料、傳媒引述的電腦保安專家意見以及公署目前掌握的資料,公署有以下的初步意見。
有關活動進行時,由於涉及收集個人資料,而有關活動和收集的目的透明度不足,尤其是沒有說明有關活動與現行法例下的機制和程序的分別,有誤導公眾和損害公眾利益之嫌。個人資料私隱專員黃繼兒指出:「任何人藉現行法律或機制的名義或性質,進行法律或機制外的活動,期間收集個人資料,但沒有清楚說明收集目的和用途的合法理據,尤其是活動擬定的目的和後果涉及公眾關注和受影響的重大議題,因而誤導參與活動的人士(或部份參與者),及資料和數據有被誤用或濫用之嫌,我認為這是違反了《個人資料(私隱)條例》(「條例」)下
公平收集個人資料的原則。
1」
同時,有資訊科技專家和組織指出,PopVote的系統將收集的個人資料「去識別化」的技術,輕易便能被即時解讀而還原成可識別的資料。而PopVote以即時通訊程式 Telegram 來驗證參與者的身份以進行投票,其做法亦已被電腦保安專家質疑。存在一定程度的私隱風險,不單有機會帶來無法彌補的嚴重後果,更可能違反條例的資料保安原則
2。
公署強烈要求
有關機構立即停止不公平收集個人資料及使用有關的Telegram 通訊程式;
一般市民應在參與活動前清楚了解所帶來的私隱風險和相關後果。公署並已就事件展開循規審查。
註1:保障資料第1原則(「收集資料原則」)— 資料使用者須以合法和公平的方式,收集他人的個人資料;其收集目的應直接與其職能或活動有關,而所收集的資料就有關目的而言屬足夠但不超乎適度。同時資料使用者須以切實可行的方法告知資料當事人收集其個人資料的目的,以及資料可能會被轉移給哪類人士。
註2:保障資料第4原則(「資料保安原則」)— 資料使用者須採取所有切實可行的步驟確保個人資料的保安,以免個人資料受未獲授權或意外的查閱、處理、刪除、喪失或使用所影響。
-完-