隱晦收集頻頻得手
相信大部份人都曾光顧日式壽司店並利用店舖提供的端終點餐,經驗良好之餘又不涉客戶個人資訊。如果店舖服務員在點餐前明言要求你提供個人資料,並會保存菜單紀錄,用餐花多少時間及消費額,與多少人同行,又會將資料交給第三方作分析及市場推廣,相信你的反應是「食餐飯啫,有冇搞錯?」。如果有人要求你打指模、提供聲音檔案、拍多張高清正面照、掃描虹膜等,相信你馬上會啟動戰鬥模式,查問清楚原因,尋找替代方案。不幸地,只要透過電子包裝,上述要求便可輕易得手。上周,私隱公署連環出擊。首先是公布本地十間餐廳的點餐應用程式均會對用戶進行追蹤,收集裝置資料交易紀錄位置等,用作直接促銷,甚至在不詢問客戶是否同意下用作促銷。有部份餐廳利用二維碼點餐服務時需要提供個人識別資料,例如電話號碼或電郵,部份沒有清楚說明蒐集資料的用途。另一宗公署指「世界幣」收集及處理敏感個人資料情況可能涉及違私隱條例,「世界幣」聲稱收集登記者虹膜用作「人格辨認」,證明使用者是真人而非Al。公署提醒市民了解軟件收集的資料及用途,避免掃描不明二維碼,亦要充份考慮生物辨識資料收集者的合法性、目的、採取的保安措施云云。
法律法規保障有限
今時今日,客戶資料是生財工具,除了明顯違反告知責任外,只要利用冗長的告知及條款,由用家按鍵「同意」,就可合法地蒐集資訊。利用「提供更佳服務」作為收集目的可以有無限演繹。
上述點餐收集資料,公署亦只能提醒市民,無法採取行動。留下姓氏及電話號碼或電郵好像沒甚麼大不了,但當資料不斷分散給第三者,泄露風險倍增。當不明來電說出你姓氏,你大可能會繼續對話而透露更多資料,或增加被騙的風險。實名制下電話號碼可視作半張身份證,而且可用作唯一識別碼,將不同途徑收集的資訊串聯,得出擁有者的特性。收集生物特徵資訊與收集其它資訊在現行法例下是同等對待,只有額外並無法律效力的守則,「世界幣」到底如何違例,還要看法庭判決。部份本地銀行鼓勵客戶利用聲音作電話交易身份認證,又或在分行利用指模確認交易,銀行網站並無提供更多相關的安全資訊。這些銀行又何曾告訴客戶有甚麼額外措施確保生物識別資訊安全,讓客戶或專家評估?安裝一個軟件,除了冗長的告知,還有各種敏感授權,一經同意,就可長期收集個人資訊及元數據。互聯網並無界限,軟件提供者在外地,本地法例無能為力。即是真正違反法例,本地罰則與其它地方例如歐盟GDPR相比,怕且未能發揮阻嚇作用。
提升保護個資層次
所以主動保護個人資訊才是第一道防線。首先認識你的權利。按法律規定,收集個人資料必須告之範圍、目的及徵求同意,你有權要求查閱、更正、收回同意及要求刪除資料。你應主動查問選項,並以不取用最少資訊完成服務為目標。以點餐為例。告訴對方手機暫時未能安裝軟件或掃描QR,要求提供另外方法。若要掃描取得服務,必須確保QR沒被篡改,確定連結非惡意。避免利用生物識別作任何密碼或服務認證。密碼可以修改,但生物特徵不能改動,一旦失竊亦無法逆轉。人工智能及3D打印技術已可利用生物特徵深偽身份。若你曾經在任何服務使用生物特徵,除非對方能提供令你非常信服的安全措施,你應馬上撤回,並要求對方確認銷毀相關資料。避免提供電話號碼及私人電郵。某些地區有軟件可提供一次性電話及電郵用作購物、點餐及其它需要提供這些資料而可能有私隱關切的服務。特區實施實名制,沒有一次性電話服務,但一次性電郵可考慮DuckDuckGo電郵服務。將安裝軟件數量減至最少,選擇利用線上服務。不要因為有優惠隨便安裝軟件,個人資訊價值遠超這些優惠。安裝前看清合約條款重點,包括取用資料及授權的合理性。
筆者未聞有人嫌個人資料收集不足,但後悔提供太多的比比皆是。個人資料有價有市,所以引來覬覦,而且利用各種隱晦方式收集,法律保障有限且存灰色地帶,最好還是自我提高警覺,積極保護資料。順祝讀者龍年資訊平安。◇
------------------
📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
