大公文匯網 香港

世界幣蒐虹膜信息 涉敏感資料疑違例

世界幣蒐虹膜信息 涉敏感資料疑違例

香港即時

2024.02.01 08:27:57
字號:
特大
私隱專員公署調查員持法庭手令進入「世界幣」六間處所進行調查,要求有關各方交出虹膜信息的文件和資料。(私隱公署圖片)

(香港文匯報 記者 蕭景源)無論是指紋、DNA,還是眼睛虹膜信息,都是重要敏感個人資料,一旦被不當使用或外洩會帶來嚴重後果。香港個人資料私隱專員公署發現一個名為「世界幣(Worldcoin)」的加密貨幣公司,在香港要求參與者掃描個人虹膜信息以獲取註冊身份。由於收集和處理虹膜信息涉及嚴重個人資料私隱風險,可能違反《個人資料(私隱)條例》規定,公署主動開啟調查,並於昨日持法庭手令進入「世界幣」六個營運點,要求營運者交出文件資料。個人資料私隱專員鍾麗玲呼籲市民對「世界幣」項目提高警惕,小心保護自己的敏感個人資料,切勿隨便參與一些收集敏感個人資料的活動,包括虹膜掃描等生物辨識資料。 

網上資料顯示,「世界幣」 是一個在2020年展開的加密貨幣項目,聲稱目標是運用區塊鏈技術,構建全球適用的個人身份識別系統(World ID)、全球性通用貨幣Worldcoin,以及連接身份識別與通貨的電子錢包(World App),又稱該項目創建一種基於生物特徵的身份驗證系統,用以分辨AI(人工智能)還是真人,目的是確保每個人都能公平地獲取他們的數碼加密貨幣份額,防止濫用和詐騙云云。

「世界幣(Worldcoin)」加密貨幣公司,在香港要求參與者掃描個人虹膜信息以獲取註冊身份。

獲註冊身份及虛擬貨幣

根據香港個人資料私隱專員公署早前收集的情報得知,參與「世界幣」項目者需要讓有關機構透過虹膜掃描收集其虹膜信息,藉此獲取註冊身份(即 World ID,「世界幣」稱之為一本數字護照),並可免費獲得虛擬貨幣「世界幣」。

私隱專員鍾麗玲昨日在記者會上指出,虹膜信息是生物辨識資料之一。一般而言,生物辨識資料是獨一無二及不可改變的,可被視為敏感的個人資料。任何人士或機構作為資料使用者在香港收集、持有、處理或使用個人資料時,必須遵從《私隱條例》及相關保障資料原則的規定。

私隱專員公署注意到「世界幣」去年12月在香港由一個營運點增加至五個營運點,目前仍有四個營運點,部分營運點可以收集虹膜信息。公署關注到「世界幣」在香港的運作涉及嚴重的個人資料私隱風險,並相信有關機構收集及處理敏感的個人資料的情況可能涉及違反《私隱條例》的規定,為保障市民個人資料私隱,公署依據既定程序主動啟動對「世界幣」的調查。

公署人員昨日行使《私隱條例》權力,持法庭手令進入「世界幣」六間分別位於油麻地、觀塘、灣仔、數碼港、中環及銅鑼灣的處所調查,並要求營運者交出相關文件和資料。

調查收集目的期限與參與人數

私隱專員公署高級個人資料主任盧迪凡表示,暫時沒有收到任何有關「世界幣」收集個人資料的投訴。公署就「世界幣」收集參與者虹膜信息的調查範圍,包括收集生物辨識資料的合法性;收集程度及目的、如何使用,將會披露或轉移予哪些人士或機構;保留生物辨識資料的期限、保障生物辨識資料所採取的安全措施,以及負責人背景資料等。

高級個人資料主任盧迪凡提醒市民,切勿輕易參與收集敏感個人資料活動。(香港文匯報記者劉友光攝)

盧迪凡表示,公署無權禁止「世界幣」繼續營運,是次調查的方向之一是香港有多少人參與。公署會繼續進行調查,當有結果會進一步公告。

公署呼籲市民切勿輕易參與收集敏感個人資料的活動,在提供個人生物辦識資料前要提高警惕,小心考慮有關機構收集生物辨識資料的合法性,收集程度、目的、用途及保安措施等問題。若市民就「世界幣」對其個人資料的收集、持有、處理或使用有任何投訴,或可就「世界幣」項目提供資料,請盡快聯絡私隱專員公署(電話:2827 2827、電郵:complaints@pcpd.org.hk)。

特稿:不當使用儲存 恐致身份被盜

個人資料是可確定在世人士身份的資料,必須以可供查閱及處理的方式記錄下來。任何系統儲存的個人資料,包括書面文件、聲音與影像,以及意見表達均屬個人資料定義範圍內。其中,生物辨識資料往往包含個人健康、精神狀況或種族相關的敏感資料。如錯誤地披露任何生物辨識資料,可導致嚴重後果,包括無意或未經准許的情況下,再次辨識出個別人士的身份,甚至被他人冒認身份或遭受歧視。個人資料私隱專員公署在收集生物辨識資料方面有提供指引,為收集及使用生物辨識資料提供良好行事建議。

生物辨識資料往往包含個人健康、精神狀況或種族相關的敏感資料。圖為中國科學院自動化研究所研發的內地第一個具有自主知識產權的虹膜身份認證識別系統。(資料圖片)

根據香港現行的成文法及普通法,只有個人資料受到《個人資料(私隱)條例》保障,而該條例適用於公私營機構及政府部門,以規管資料的收集及使用方式,並防止任何人因濫用個人資料而侵犯到他人的私隱。明顯的個人資料包括姓名及指紋,但某些日常生活資料組合起來,例如電話、地址、性別、年齡、婚姻狀況、薪金及財政狀況、醫療紀錄及受僱紀錄,亦可讓人切實可行地辨認出一個人的身份。

生物辨識屬於敏感資料,主要分為DNA、指紋等個人先天生理資料,以及筆跡、打字節奏或步姿等後天形成的行為特徵資料。一般人單憑觀看指紋影像,或以其模板,即生物特徵樣本及圖像的主要特徵及位置來確定某人身份,未必是合理地切實可行,但當生物辨識資料與另一資料庫的個人資料連結後,就可以識別出資料當事人的身份。

因此,使用生物辨識科技的機構必須了解生物辨識資料的獨特性、不變性和可作推斷的特質以及其相關的私隱風險,要有充分的理據方能使用,並須配合適當的程序和保障措施,以避免未經授權的查閱和不當使用相關數據而導致個人身份遭盜竊、冒充或遭受歧視。

建議轉化成生物辨識模板

在保存生物辨識資料的問題上,個人資料私隱專員公署建議資料使用者應盡快將原來的生物特徵樣本或圖像,轉化成生物辨識模板,以作儲存及使用,並將原本的資料安全銷毀,及採用在技術上無法或難以重組原本圖像的方式儲存。使用者亦須根據資料的敏感性,決定收集什麼資料及以何種方式儲存。

收集及使用生物辨識資料,可以是為了不同的目的,包括只容許專業人員進出有生化危險的實驗室時,使用視網膜或虹膜識別系統作出入監控。惟某些情況,如面部識別或打字節奏分析器可在登入敏感的電腦系統後,持續核實使用者的身份,因此收集某一類別的生物辨識資料,須視乎收集資料目的是否具必要性,以及其收集方式是否具透明度、可解釋性及知情的選擇,避免隱蔽式資料收集。

(來源:香港文匯報A01:要聞 2024/02/01)