「特首民投」侵犯私隱時序

2017-02-21

2月7日啟動首天即被揭發有嚴重保安漏洞。反對派組織「前線科技人員」指出，系統需要取得用戶的Telegram認證碼以至密碼，相關人士可以讀取投票者的Telegram內所有訊息，呼籲不要參與投票，已投票者則應清除Telegram中的訊息。反對派資訊科技界立法會議員莫乃光也作「緊急呼籲」。「特首民投」回應稱，在瀏覽器內嵌Telegram程式碼的做法是「方便用家」，「系統絕對不會傳送任何和投票無關的資料至任何地方」。

2月8日發起「特首民投」的戴耀廷聲稱，保安漏洞「是任何網絡程式都必會面對的問題，連美國中央情報局也會有這問題」。協助「特首民投」的「公民數據」提出補鑊措施，包括在當眼位置說明系統用法及取得的資料、解釋當中潛在風險、每日檢查系統程式碼有否被改動等。

2月9日香港電腦保安事故協調中心指出，系統會對Telegram用戶構成資料外洩的風險，建議在系統修正前不要使用，或使用全新的SIM卡及Telegram賬戶進入系統。

2月12日「前線科技人員」再揭發系統的保安漏洞，指系統將用戶的Telegram登入憑證（Session Authentication Key）存放在瀏覽器的本地儲存（localStorage）內，即使關閉瀏覽器或重新啓動電腦，該登入憑證不會被清除而且繼續有效，其他使用該電腦者可以取得憑證，登入用戶的Telegram戶口，存取其所有通話記錄及收發新訊息。

2月13日個人資料私隱專員公署指出，「特首民投」收集個人資料的透明度不足，有誤導公眾和損害公眾利益之嫌，違反了《個人資料（私隱）條例》下公平收集個人資料的原則及資料保安原則，已就事件展開循規審查，強烈要求有關機構立即停止不公平收集個人資料及使用有關的Telegram通訊程式。組織「特首民投」的「公民聯合行動」稱，知悉公署的關注，將會於日內主動約見公署。

2月14日「公民聯合行動」跪低，稱為了減低對公眾的困擾，先暫停提名收集。

2月15日個人資料私隱專員黃繼兒與戴耀廷會面，指系統收集資料目的和合法理據欠奉、資料使用者身份不清晰、「個人資料收集聲明」具誤導性，重申做法涉嫌違反《個人資料（私隱）條例》下公平收集個人資料的原則。

2月16日「公民聯合行動」聲稱沒有證據顯示現有系統被入侵，也沒有證據顯示任何用戶個人資料被盜取、破壞或影響，但仍決定停用現有系統，並於2月20日（昨日）上午10時改用新系統重新收集提名。

2月20日「23萬監察」到私隱公署投訴。「特首民投」稱新系統與原有資料庫連接的工作需時較預期長，需在2月22日（明日）中午12時才可重開。

讀文匯報PDF版面

新聞排行

圖集

視頻