物聯網如何揭露你的私隱

毫無疑問,物聯網為我們提供從未想像過的便利和效率。我們已很習慣使用物聯網裝置,以致它成為了我們現今生活不可或缺的一部分。除了物聯網所帶來的效益,讓我們也來看看物聯網的私隱風險。

物聯網指一般家居設備或個人裝置透過互聯網相互連繫的網絡。物聯網裝置一般安裝了感應器,可與其他裝置通訊和交換資料,並可以遙距控制。常見的物聯網裝置包括智能手錶、智能電視、人工智能家居助理、聯網汽車和智能燈柱。物聯網裝置是「智慧生活」和「智慧城市」不可或缺的部分,而其核心功能包括收集及傳送資料,並往往具有某程度的自動監控和決策功能。

許多物聯網裝置,例如穿戴式裝置、智能電視和家庭電器,都能收集大量關於個人健康、行蹤、習慣和私生活的私密資料。通過整合這些資料,便可以建立物聯網裝置使用者的個人資料檔案。因此,對物聯網裝置進行追蹤,亦相當於對其使用者的行為追蹤。

2018年8月,美國聯邦第七巡迴上訴法院在Naperville Smart Meter Awareness v City of Naperville, No. 16-3766 (7th Cir. 2018) 一案中,裁定智能電錶所收集的家庭能源使用資料,受《美國憲法第四修正案》保障(即是人民在人身、住宅、文件和財物皆享有不受無理搜查和扣押的權利),原因是該等能源使用資料顯露了屋內的情況。儘管如此,個人通常沒有留意到物聯網裝置收集其資料、其收集目的以及該等資料最終會被轉移到哪裡。此等對重要個人資料的處理幾乎完全缺乏透明度,亦沒有給予裝置使用者適當的通知。

《個人資料(私隱)條例》附表1的保障資料第1原則規定,機構(資料使用者)須以合法和公平的方式收集資料。消費者(資料當事人)必須獲告知他們的個人資料的使用目的,以及該資料會否被轉移予第三者。機構並且不得秘密收集資料。保障資料第3原則(使用資料)規定,資料使用者將資料當事人的個人資料用於其他目的(例如對資料當事人進行個人資料彙編及宣傳推廣)前,須取得其同意。

資料保安是物聯網的另一個棘手問題。物聯網裝置相對便宜,故生產商和使用者未必會對物聯網裝置採取足夠保安措施。在有著許多裝置相互連繫的物聯網生態系統中,整個系統的保安強度可能只是有如最脆弱的接入點。黑客可以首先入侵安全度不足的物聯網裝置,然後入侵資訊系統。此外,黑客也可透過控制數以千計或百萬計被入侵的物聯網裝置發動分散式阻斷服務攻擊。根據香港電腦保安事故協調中心的「2018年香港資訊保安展望」,物聯網攻擊數量正明顯增加。各個機構有責任根據保障資料第4原則(資料保安),採取所有切實可行步驟,以確保在其控制下的個人資料,不會未經授權或意外地被查閱、使用或喪失。保安措施應與任何潛在資料外洩所帶來的損害風險相稱。

我們作為物聯網裝置的使用者,亦應對裝置的安全設定有所警惕。譬如不久之前,許多網路攝影機因受黑客入侵,導致有關裝置使用者的家中生活狀況在網上直播。要避免受到窺視,我們其實只需更改網路攝影機(及其他物聯網裝置)的登入認證,將原廠設定改為用戶自行設定。

要對症下藥,解決保安問題,我們極力鼓勵物聯網裝置生產商採取「貫徹私隱的設計」,而消費者亦應只使用含有此類設計的物聯網裝置。

香港個人資料私隱專員網頁:www.pcpd.org.hk

Jurisdictions: 

大律師,香港個人資料私隱專員