錢偉倫 國際私隱專業人士協會認可信息私隱專家(歐洲)
日前有報道,手機通訊軟件WhatsApp一度被黑客入侵。黑客利用軟件漏洞,在用戶完全不知情的情況下入侵手機,進行監控及套取個人資料 。現時仍未確定黑客身份及有多少用戶受影響。雖然WhatsApp 已經呼籲用戶即時更新軟件堵塞漏洞,但WhatsApp全球有超過15億用戶,今次事件已使用戶人心惶惶,並引發大眾更關注流動應用程式是否能妥善保護個人資料及私隱的問題。
不同地方都有保護數據、保障個人私隱的法例,包括香港的《個人資料(私隱)條例》(保障資料第4(1)原則)、歐盟的《通用數據保障條例》(第5(1)(f)條),及中國內地的《網絡安全法》(第76(5)條),法例都有要求資料使用者或網絡營運者要採取措施,保障個人資料不會未經授權或意外地被查閱、刪除、破壞或使用。
然而,現在很多程式開發商,每天都在設計、開發及推出不同的流動應用程式,而適用的流動裝置(包括手機或平板電腦)所儲存的資料,若只是待發生私隱洩露事件後才採取補救,做法實不理想,亦會打擊用家的信心。
資訊科技急速發展,流動應用程式帶來無限商機,但亦給保障個人私隱和保護數據帶來挑戰。程式開發商應摒棄只達至最低監管要求的做法,而應遵守更高的道德標準,更好地保障用家的利益。
因此,即使法例沒有特別規定,程式開發商也應考慮採取更有效方法保障私隱。
1、採取「保障私隱、全面貫徹」的理念,從設計開始便引入保障私隱的理念,應主動保障,而非被動補救。保障個人資料,應涵蓋從收集以至刪除個人資料的整個流程。
2、開發程式的初期,應系統評估程式對個人資料、私隱的影響,盡早降低風險及任何不利影響。
3、嚴格遵守保障資料原則:
i. 程式收集、傳輸個人資料必須以合法、公平及透明的方式進行,用家應獲告知收集資料的目的、可能轉移給什麼人、以及要求查閱及改正資料的權利。
ii. 要確保所持有個人資料的準確,保存的個人資料不應超過被使用的目的,以及所需要的時間。在收到用家要求停用或終止賬戶後,除非基於法律或監管原因,否則開發商應徹底移除賬戶資料,包括已上載或分享的資料。
iii. 除非得到用家的明確同意,否則個人資料不可用於其他用途。
iv. 必須採取合理及切實可行的步驟,保障所收集的資料不能在未經授權下被查閱、處理、刪除或使用。例如流動應用程式傳輸的資訊應受到加密保護,以防被截取;儲存於伺服器的資訊,應以存取監控及加密方式保護,以免受到未經准許的查閱。
v. 應提供有關程式的個人資料私隱政策,例如擬備私隱政策聲明,列明其在個人資料私隱保障的政策及實務。
vi. 資料當事人有權要求資料使用者確定是否持有其個人資料,及要求索取所持有個人資料的複件。資料當事人亦有權要求改正有關資料。因此,程式開發商應在流動應用程式中提供聯絡資料,讓程式使用者可以就查閱及改正個人資料提出要求。
透過上述做法,可以更好地保護流動應用程式用家的個人資料,提升程式開發商的商譽,增強持份者(包括投資者)的信心 。