大公文匯網 香港

外賣及點餐App濫收集私隱 地址電話姓名等資料或被轉售

外賣及點餐App濫收集私隱 地址電話姓名等資料或被轉售

香港新聞

2023.11.26 07:20:32
字號:
特大
 

(大公報記者 伍軒沛)在數碼時代,電子點外賣或電子點餐成為都市人的用餐習慣,足不出戶便能吃天下美食。然而,市民要提防在美食送來的同時,自己的個人資料及私隱可能有外洩的風險。大公報記者檢視網上多個提供外賣服務的手機應用程式後發現,不少程式的「App私隱」條款中,都帶有「與你連結的資料」及「用於追蹤你的資料」兩個項目。

有專家表示,若透過程式商店下載App的過程中,出現對方要求「用於追蹤你的資料」,意味該應用程式有可能收集市民的個人資料,然後轉售給其他公司作廣告用途。專家建議市民在使用程式時應先留意私隱條款,自行評估所收集資料的合理性,再決定是否下載使用。

當下載電子點外賣或電子點餐應用程式時,市民最基本都需要申請一個賬號,不少市民為求使用手機時更個人化,都會使用真實身份資料。然而,應用商店中,每一款應用程式的詳細說明中都有「App私隱」一欄,當中涉及的索取項目,分分鐘會洩露個人資料。

八款外賣App同索個人資料

一般而言,App私隱當中,最常見的包括「用於追蹤你的資料」、「與你連結的資料」及「不會與你連結的資料」三個項目說明。其中,應用程式透過「與你連結的資料」一項,能夠取得市民申請賬戶時留下的資料,而要求「用於追蹤你的資料」,則能在市民使用相關應用程式時,追蹤用戶的資料。

大公報記者檢視市面上市民較常用的八款電子點外賣軟件,比對後發現雖然程式用途大同小異,但每一個程式所需要索取市民的資料各有不同。有熱門外賣軟件需追蹤用戶多達七項手機資料,包括購買紀錄、實體地址、電郵地址、姓名、電話號碼、搜尋紀錄、用戶ID。八款外賣軟件中,有四款需要追蹤用戶資料,追蹤項目由一至七項不等。

香港理工大學電子計算學系副教授楊磊接受《大公報》訪問時表示,一般從正規應用市場下載軟件前,市民都能夠看到軟件所需要索取的限權和資料,如果仔細閱讀,能夠很大機會防止個人資料外洩。

他解釋,「與你連結的資料」一項,意思是這個應用程式將會連結用戶的個人身份,但這個身份是指虛擬身份。一般情況下,是指市民在申請賬戶時登記的身份,如果市民不是以真實姓名和資料申請開戶,一般不需要太擔心個人資料外洩;而軟件開發商通常收集這些資料,主要是為了調試軟件所用。

但如果應用程式的私隱說明中涉及「用於追蹤你的資料」一項,市民便要注意,因應用程式能夠準確記錄市民的搜索紀錄資料,並有機會轉售或提供給其他公司,「這種軟件,需要使用者同意其他公司的App和網站或會使用你所同意交出的資料追蹤你,這就表示這個App能夠把你的資料提供給其他公司。」

洩網上行跡成推送廣告目標

他舉例,市民平日在網購應用程式看到的商品推送或網頁上彈出的廣告,往往與近期自己的搜索及購買紀錄有關,這就是由於我們在下載應用程式時,不知不覺中被追蹤,資料外洩。

楊磊建議市民在下載應用程式時,先仔細閱讀軟件相關的私隱資料說明,並自行判斷所需提供資料的合理性。「舉例,外賣應用程式需要用戶的地址是合理的,這能方便外賣送達;但一個閱讀應用程式需要用戶地址,便未必合適了。」他指出,不單是外賣應用程式,所有應用程式都有機會涉及個人資料外洩風險,如果市民在選擇應用程式時遇到以上問題,可以考慮更換下載其他同類型軟件,或者判斷提供的是否合適。

「電子點餐」強索私隱 內地餐廳捱告賠款

在部分餐廳「掃碼」點餐,有可能被要求以社交平台賬號登入,或因此令私隱外洩。

「電子點餐」普及,部分不良商家捆綁式強制顧客下載App等手段獲取個人私隱,歪風不但在港引發熱議,在內地更有食肆捱告。近日,北京三中院就針對一宗個人信息保護糾紛作出終審判決。涉事餐飲公司因在「掃碼」和「點餐」之間增加了一道程序,強制顧客關注微信公眾號、授權商家獲取個人信息,否則不讓點餐,結果被判賠償5000元人民幣。

案情指,2021年7月27日,孔某到某餐飲公司用餐時,未獲店員告知可以人工點餐。在通過「電子點餐」並結賬的過程中,他需要關注該公司的微信公眾號,授權商家獲取微信昵稱、頭像、地區、性別、手機號碼等信息,否則無法進行線上點餐。更甚的是,孔某發現,當他取消關注公司該微信公眾號後,其會員信息仍被存儲,而他無法自行刪除。

北京三中院判決涉事餐飲公司停止侵害孔某個人信息權益的行為,刪除收集的孔某個人信息;將處理孔某個人信息的範圍、方式向孔某進行書面告知;就侵害孔某個人信息權益向孔某進行書面賠禮道歉;賠償孔某公證費用5000元。法官提醒,掃QR Code點餐服務的普及與發展,不應成為保護消費者個人信息安全的隱患。

議員倡修例 為收集個人信息設限

對於市民下載應用程式有洩露私隱風險,有立法會議員認為,政府需要立例禁止或監管餐廳、開發App的公司收集有關個人信息和使用權限。私隱專員公署表示,會密切留意商業機構對個人資料收集情況,以及其對個人資料私隱所構成的風險,因應情況向相關業界發出進一步的指引,協助他們了解及遵從《私隱條例》的相關規定。

私隱署:因應情況發指引

關注私隱問題的立法會議員陳恒鑌向《大公報》表示,隨着數碼時代的來臨,很多電子服務都正在起步,過度收集個人信息問題成為關注點,需要一些守則或指引規管。他認為商業機構應該因應自己的商業目的收集相關資料,而非濫收集。「例如食肆的應用程式,可能落單時需要用相機,但對於相簿甚至是電話簿的限權也要獲取,甚至在登記會員時連住址都要收集,這些就與程式原本的作用完全不相關,是過度收集。」他希望私隱專員公署能夠制定一些新的指引,供業界參考。

立法會議員葛珮帆向《大公報》表示,在電子服務快速成為主流的時代,現行有關的私隱條例有些落後。她說私隱專員公署有意改善私隱條例,她早前和公署開會時,提出了一些私隱問題的相關改善建議,例如調整私隱條例對商業機構就個人資料如何保存、保存多久等。她又認為,香港企業對市民私隱保護意識不足,導致在收集和妥善保存資料方面時常出現問題。

私隱專員公署回覆《大公報》查詢時表示,將會密切留意商業機構對個人資料收集情況,以及其對個人資料私隱所構成的風險,因應情況向相關業界發出進一步的指引,協助他們了解及遵從《私隱條例》的相關規定。公署指出,署方每年引用循規審查或調查的權力(《私隱條例》第8(1)條及第38(b)條),處理超過230宗主動審查個案及超過100宗的資料外洩事故通報,以協助機構處理相關事故及採取改善措施,防止類似事件再次發生。公署亦引用處理投訴或調查的權力(《私隱條例》第38(a)條),每年處理超過2700宗涉嫌違反《私隱條例》的投訴。為了能更主動視察各機構的個人資料保障情況,公署專員會透過實地視察有關機構的個人資料系統,向機構提供加強保障個人資料私隱及數據安全的具體建議。

(來源:大公報A1:要聞 2023/11/26)