蘋聞追Click︱消費券方便就係好?拎幾多私隱你知唔知道

更新時間 (HKT): 2021.05.01 00:10

疫下港府傾力宣傳「安心出行」,引起私隱爭議及監控陰霾,今年財政預算案計劃分期派發5,000元電子消費券,計劃料約720萬人受惠,屆時將涉及大量個人資料處理,令人再度關注私隱問題。有數據專家查閱入圍營運商應用程式要求權限,表示部份或已超出一般交易所需;當中2間集團背景為內地支付巨頭,私隱條款列明會與集團內公司分享個人資訊,亦有指會保留資料以激活中國版本程式,惟早於1995年制訂的《私隱條例》,規管跨境資料移轉的第33條至今仍未實施,有市民坦言擔心私隱問題。便利加上「銀彈攻勢」當前,按下應用程式「同意」鍵時,公眾應如何了解會被收集哪些資訊?

根據最近報道,電子消費券派發對象為居港的年滿18歲香港永久居民及新來港人士,最快暑假開始接受登記,目標為帶動本地消費。政府4月中「派彩」,公佈入圍儲值支付工具(SVF)名單,包括WeChat Pay HK、Alipay HK(支付寶香港)、Tap&Go「拍住賞」及八達通,共4間營運商。它們分別屬騰訊(0700)旗下、阿里巴巴(9988)與長和(0001)合資、香港電訊(6823)旗下,及由香港多間主要交通運輸機構共同持有,全部均有流動應用程式及支援QR code,亦有使用收款機及條碼,而微信支付香港介面可見於通訊應用程式WeChat(微信)中。

入圍App要求權限多私隱存隱憂 專家提醒可Say No

早前「安心出行」要求讀取用戶手機及程式歷史,引起憂慮個人資料外傳爭議,以後消費券計劃選用的營運商應用程式所要求的權限更多,申請開戶時除了一般個人資料,部份亦會要求提供如身份證、信用卡副本、地址證明或資料,以提升用戶級別或可使用金額,公司如何保留、移轉個人資料令人關注。

本報街頭訪問市民較常用哪一間營運商、為何不選用等,約10名受訪者均有使用八達通,主要方便乘搭交通工具,大部份受訪者並沒有詳閱相關個人資料條款。有大專生自嘲「都係無睇就用,貪一時之快」;有中學生表示會先細閱條款,對2間有內地背景營運商較欠信心,「覺得個人私隱無咁保證到,信唔過就直頭唔用喇」。

按《個人資料(私隱)條例》,個人資料只限用於收集時述明目的。數據科學家黃浩華表示,現時市民可於應用程式商店網站,查閱其要求索取權限,開戶時亦應細閱條款;但將來若因應消費券要加入新功能或會收集更多數據,有可能超出用戶最初可接受範圍,營運商及政府均有責任確保資料妥當地儲存、處理。

若以Google Play平台4月版本為準,比較4間入圍營運商的流動應用程式,分別要求16至46項權限,當中本身為通訊軟件的微信要求項數最多。上述權限包括類似「身份證」的手機識別碼、存取及修改通訊錄、拍照錄音等,黃認為,有些資料收集可能已超出一般交易所需,「例如會比較詫異係點解交易時要記錄埋你個地理位置呢?我想知商家同埋我畀咗幾錢嘅啫,但佢會知道埋你GPS位置,咁就會洩漏咗,比佢原來需要更加多嘅資料」。

他提醒,部份權限可於電話「設定」拒絕,建議使用前先行了解,「有啲資訊收集咗的確係方便消費者搵更適合自己嘅產品,但亦要了解有咩私隱你係唔想被收集,可能要有個取捨」。

有營運商保留資料以激活中國賬戶 未回應資料會否移轉內地

入圍者當中,WeChat Pay HK及支付寶香港均有內地背景,翻查其私隱政策,前者表示會與「集團內公司」分享個人資訊,而資訊會移轉至或儲存、處理於加拿大安大略省及香港;後者列明,為提供額外功能,登錄資料將保留用作激活中國支付寶及淘寶賬戶,亦可能將個人資料提供予有業務推薦或類似商業關係的第三方,包括阿里巴巴集團等。

本報曾就此查詢4間營運商,用戶資料會否被移轉到內地或海外公司、伺服器。八達通指,一般使用境內伺服器,亦有使用海外雲端服務;Tap&Go指,會嚴格遵從《私隱條例》及相關法例的要求,其條款指有需要時會轉移至境外,例如用以偵查犯罪行為,或以達到儲存、處理等目的。

支付寶香港未有直接回應會否將資料移轉至內地,強調會嚴格遵守《私隱條例》等,受有關部門規管,致力保護用戶私隱及數據安全。WeChat Pay HK至截稿前未有回覆,周六回覆時強調,保護隱私是開發平台時首要任務之一,所有用戶信息均存儲香港境內,有物理環境及硬件防火墻隔離非授權訪問,對用戶隱私數據使用有嚴格權限校驗,相關使用須經用戶確認授權。

《私隱條例》第33條禁轉移外地 95年制訂至今未實施

本港《私隱條例》第33條「禁止除在指明情況外將個人資料移轉至香港以外地方」,禁止資料使用者將個人資料轉移至香港以外,除非符合條例列明情況,但至今仍未實施。翻查自2017年以來、最近5年的立法會文件,私隱專員公署本來每年工作報告均會提及第33條研究進度,例如曾指會檢討及更新私隱保障標準,與香港相若司法管轄區制訂「白名單」。不過,到今年1月公佈去年工作報告中就沒有提及,報告強調來年首要工作為就「起底」罪行定義、刑罰等作修例建議。

香港個人資料私隱專員公署回覆本報,指因第33條實施將對商界有很大影響,業界與署方需更多方面準備,而97年已推出《跨境資料轉移指引》,現正審視並目標於年內推出新指引。若對平台所收集的個人資料存疑,署方建議可聯絡供應商及向公署投訴。

至於曾在立會文件提及的私隱保障標準與香港相若司法區「白名單」,署方指,經顧問研究後發現因應各地法規持續演化等而難以制訂。被問到內地私隱保障標準與香港是否相若,署方就指,近年內地相關法規發展迅速,例如實施了《網絡安全法》等,預計今年出台的《個人信息保護法草案》,當中有些建議規定與歐盟的《通用數據保障條例》相若。

關注網絡政策的中大新聞與傳播學院助理教授徐洛文指,香港是全亞太區首個地點有個人資料條例保障,當年主要為與歐盟龐大市場經商而制訂,因歐盟對私隱保障要求極高,「最基本如果有33條,要送香港個人資料去外地,咁當地保障要同香港咁上下level(程度)」。至於為何至今仍未實施,他懷疑可能因實行上有困難,一些與內地關係密切的公司或會遇上問題,「因為內地對私隱法律的框架,同香港仍然係有啲距離」。

徐洛文亦指出,若有資料外洩事故,現行法例並無規定資料使用者必須向當局或資料當事人通報,只屬自願性質,「例如有時見到Facebook無端端提你改密碼,可能已經代表佢有資料外洩」,認為應引入強制通報機制。

內地App曾涉私隱風波 2016年被揭涉存取用戶私隱「送中」

過往2間內地科網支付巨頭均曾陷私隱外洩爭議,翻查報道,支付寶於2018年發表2017年個人年度賬單,惟用戶會被默認為同意「芝麻服務協調」,被質疑涉侵犯用戶知情權及選擇權,事後曾道歉及被內地網信辦「約談」;去年加拿大多倫多大學安全研究團體公民實驗室(Citizen Lab)發表報告,指微信涉及監控國際版用戶,將收集所得數據完善內地審查機制,當時騰訊發言人曾指非常重視該報告。

而根據《私隱條例》,資料保留時間不應超過達至原來目的的實際所需,若資料使用目的再不符原初持有需要便須按切實可行步驟刪除,若服務商違反條例可被罰款。2016年消委會曾檢視市面10款流動支付服務,發現有營運商保留客戶個人資料長達7年,並指支付寶香港稱會永久保留,懷疑不符合個人資料原則。其後有報道指,支付寶表示回覆消委會問卷時錯誤理解問題,保留時間應為7年,若懷疑用戶涉洗黑錢才會按照國際法永久保留。

同年12月傳真社(FactWire)曾報道,淘寶、WeChat、淘寶全球、支付寶錢包及天貓5個內地科網公司研發推出的應用程式,會識別用戶身份、紀錄活動及位置等資料存取成檔案,再抄送至內地伺服器,當時私隱公署曾回覆傳真社,《私隱條例》第33條禁止個人資料轉移至香港以外地方的條文尚未生效。

指目前法例框架下消費者求助無門 消委會建議引入強制通報機制

本報亦查詢4間營運商會保留個人資料多久,八達通指與客戶結束所有業務關係後會保留資料7年,而支付寶香港、微信支付香港及Tap&Go回覆時則沒有說明。

就使用流動支付平台,消委會建議消費者申請時宜先了解平台安全程度及信譽,並細閱條款細則,考慮是否必須提供例如姓名、身份證號碼及信用卡號碼等重要個人資料。而於目前法例框架下,一旦企業發生資料外洩事件,消費者更是求助無門,因此會方期望條例可以早日更新,例如引入強制通報機制及違規罰則,以加強對個人資料的保障。

-----------------------------

蘋果App大升級 更簡潔更就手!了解更多立即下載體驗

-----------------------------

蘋果初心不變!26周年「撐蘋果Tee」預售:

你的優惠訂購海外訂購按此

一格照片,一個故事,Follow蘋果Instagram!
BannerBanner