香港人生活節奏急速,智能電話機不離手;日常上網和使用各種應用程式,方便接收資訊,是最普通不過的事。不過,每當我們下載應用程式,或使用不同的服務時,往往只著重於服務內容卻忽略條款。例如,每次手提電話合約期即將完結,盤算續約或轉台時,我們都只會比較月費和流量;直至簽約一刻,都不會去看一眼電訊供應商的《私隱政策》。這種「未看清楚條款已簽約或下載」的習慣,可能令我們陷入私隱風險中,個人資料有可能被用作直銷或其他與電訊服務無關的用途。雖然我們是個人資料的擁有者,但簽約過後,還擁有多少保障私隱的話語權?本文將以電訊服務作例,剖析電訊商的《私隱政策》中,消費者需要注意的細節。
電訊供應商收取你的費用之餘,亦可能同時收集大量個人資料。數一數收集的理由,至少都聽過「使我們能進一步改善服務質素」、「為了讓閣下有更佳的客戶體驗」、「提供優惠、產品或服務」、「進行研究或分析」,更直接的會說「進行直銷活動」。徵求個人資料的原因如此籠統,卻未有詳細闡述如何改善服務或如何提供更佳的客戶體驗,而且用字含糊,疑似與提供電訊及流動網絡服務無關,未必符合收集個人資料作為提供服務的必要性原則。
搜集資料種類範圍甚廣 或有違合乎比例及必要性原則
參考國際標準,包括歐洲理事會的《關於個人資料自動化處理的個人保護公約》(又稱《108公約》),並從必要性、合乎比例、透明度三大原則,調查本港電訊及流動網絡供應商的《私隱政策》,發現其收集資料與所使用目的相關度、收集及存取個人資料的範圍、以及披露有否收集或如何收集資料的透明度 ,均未達《108公約》的標準;例如多間電訊及流動網絡供應商的《私隱政策》中均發現懷疑過量收集及存取個人資料的情況:香港電訊、新移動和中國移動在徵求客戶同意的情況下,會收集包括教育程度、職業狀況、薪金水平、興趣嗜好、家庭和家居統計等資料;香港電訊、新移動和香港寬頻則會與第三方社交媒體平台經營商分享客戶的個人資料;香港電訊、3香港、MO、數碼通、自由鳥、中國移動和新移動則表明會收集用戶的位置資料;而數碼通和自由鳥表示有可能會自動記錄用戶的互聯網搜尋歷史和瀏覽歷史;最令人疑惑的是,香港電訊和新移動竟表明會收集用戶高度敏感的生物辨識資料,至於何以要收集這些資料,則不得而知。以上提及這幾間已涵蓋全港所有供應商,即是「梗有一間關你事」。事實上,電訊及流動網絡供應商收集個人資料的範圍,應以「維持提供有效的網絡服務」為原則,即是只包括核實個人身分、計算帳單和結餘所需資料、付款資料,其餘的個人資料基本上與服務關係不大,則不應收集,以更有效保障個人資料和私隱權。
或許你會覺得個人資料被廣泛收集是半公開的事實,沒甚麼大不了,反正機不離手的年代,總會有危機。其實早在上世紀,已有專家從簡單的公開資料中成功解碼。哈佛大學甘迺迪政府學院的教授Latanya Sweeney在〈Only You, Your Doctor, and Many Others May Know〉的研究論文中提及,90年代的美國馬薩諸塞州保險委員會在發布政府僱員的醫療數據前,為防止用戶私隱泄露,即使刪除數據中所有敏感信息,如姓名、身分證號碼和家庭住址等,但他當年已能夠僅憑數據中餘下的性別、出生日期和郵編,並與其中一份公開的投票人名單進行匹配,便成功破解了一份匿名處理後的醫療數據,而且能夠確定具體某個人的醫療記錄。
非敏感資料碎片亦能還原完整紀錄
這已是發生在上世紀的事例,可想而知你的「數據足跡」在現今科技下將會更易被破解,看似不敏感的個人資料被多次收集及配對後,你原本不想披露的私隱亦有可能被連根拔起。大數據時代下,輕易略過《私隱政策》可能令自己陷入危機;因此,養成「先閱讀、後同意」的自我保護意識,尤其重要。
當你打電話或上網,享受電訊及流動網絡供應商的服務時,你的個人資料或許已被收集並陷入風險而不自知。電訊商的《私隱政策》應列明收集四大個人資料的方式、收集目的與必要性,包括個人身分和付款資料、通話與短訊紀錄、流動數據紀錄、位置資料等,讓消費者盤算續約或轉台時,有權知悉哪些資料被收集,以及如何和為何收集。至於身為消費者,對個人資料要有保護意識,同意和簽署任何合約前,應先閱讀收集個人資料的條款,瀏覽網頁時保持良好習慣、例如不預設登入資料、調高瀏覽器提供的cookies權限等,不要讓無所不在的監視眼肆無忌憚地攫取你的私隱。
延伸閱讀:
香港主要流動網絡營辦商私隱政策(個人資料收集及處理)調查報告
最佳實踐指南:電訊及流動網絡營辦商之個人資料收集、使用及披露(只有英文版)
人權學堂:使用流動網絡時,你是否已做足私隱保障措施?
人權學堂:從「電話卡實名制」重新審視《私隱條例》對個人私隱的保障