香港私隱專員在流動應用程式的私隱規例問題上擔當領導角色

Mark Parsons合夥人及Peter Colegate律師,霍金路偉律師行

私隱規管機構的注意力現正逐漸轉移到流動應用程式收集、處理及傳輸個人資料的方式。

2014年12月9日,來自世界各地的21個私隱執法機關向全球七個領先的應用程式供應平台發出公開信,促請他們制定下載程式前向用戶披露的私隱政策。

公開信是由香港個人資料私隱專員公署(「公署」)與加拿大私隱專員公署聯合發起。公開信的其他簽署人包括英國資訊專員、澳洲及新西蘭的私隱專員,以及韓國網絡安全局副局長。

公開信接續全球私隱執法機關網絡的一項研究發出。由包括公署在內的26個私隱規管機構組成的全球私隱執法機關網絡於2014年5月抽查世界各地超過1,200款流動應用程式進行研究,結果發現許多流動應用程式披露不足,用戶私隱欠缺保障。具體結果包括:

  • 85%被抽查的程式未有清楚解釋他們如何收集、使用及披露個人資料;
  • 超過一半(59%)程式由得用戶竭力尋找有關私隱的基本資訊;
  • 31%的程式要求過多權限,讀取超過程式所需要的個人資料;及
  • 43%的程式的私隱政策聲明未有顧及手機細螢幕的需要,提供的資訊不是字體太小就是隱藏在冗長篇幅中,以致需要多次捲動或點擊頁面來閱讀。

除發出公開信外,公署最近亦發布其為香港流動應用程式開發商編製的指引

雖然公署的指引是特別為中小型規模的應用程式開發商編製,但其中載列的原則,對於有意在香港透過流動應用程式推廣或進行業務,或者從事流動應用程式技術開發的所有企業,不論規模大小,都具有重大意義。公署不斷提倡「貫徹私隱的設計」概念──在技術開發的起始階段便應考慮保障私隱的需要──更將會是一項重要的商業考慮。

概述香港的指引:

A部和B部提供香港《個人資料(私隱)條例》(下稱「《條例》」)應用於程式開發的背景資料,以及《條例》背後的六項保障資料原則。

C部解釋何謂「貫徹私隱的設計」概念,並鼓勵開發商在開發程式的整個過程中考慮保障私隱的問題。

D部針對的是讀取用戶個人資料的應用程式,當中的檢查表是供給開發商於開發程式過程中採用「貫徹私隱的設計」方法時使用。D部列出連串問題,鼓勵開發商按照檢查表逐一查考程式所收集的每類資料,有系統地考慮如何在避免侵犯用戶個人資料私隱的情況下設計程式。

用戶資料有可能被程式讀取或收集,且連結到D部檢查表中開發商所收集的資料,E部就此提供一些最佳行事方式的建議。E部更鼓勵程式開發商只讀取程式必須要的資料種類,確保他們的私隱聲明是為其特定的程式量身設計。私隱政策應清楚陳明應用程式會否讀取用戶儲存於智能手機的資料、讀取的資料種類,以及為何及如何讀取。這樣,用戶便能夠在知情的情況下決定是否下載及使用應用程式。

至於沒有讀取或收集個人資料的應用程式,F部提醒開發商,透明度是《條例》的其中一塊基石。即使沒有收集用戶的個人資料,開發商亦應透過私隱聲明在用戶安裝程式前闡明。

遵守規定的重要性:

全球私隱執法機關網絡於2013年抽查全球的應用程式,發現許多都存在缺陷,調查結果同樣令人失望;香港特別感到失望,因為其中60個抽查程式就是香港最受歡迎的智能手機程式。鑑於2013年的調查,改善程式使用的私隱和資料保障成為公署工作的重中之重。公署加強教育工作,特別為程式開發商舉辦講座,並開設網上私隱專用網頁

違反香港資料私隱規定的後果可能遠較單單罰款及其他規管處分嚴重:聲譽問題極為常見。根據最近公布的2013年數字,公署滙報的投訴增加了48%,發出的執行通知則增加了一倍。此外,接續發生的事件和進行的調查顯示,私隱專員更願意「點名批評」其相信已經違法的企業,這使得違規的後果遠較過往的嚴重。

全球私隱執法機關網絡於2014年進行抽查,本地結果的詳情有待公布;一年將盡,公署卻不公布調查結果,顯示香港開發商在過往12個月只將情況稍稍改善。私隱專員已經表明,如果情況沒有改善,便不排除會針對違規者採取執法行動。從發出公開信和最新指引的時間安排上可看得出,公署在連串跟進行動中最先採取的,可能是努力確保流動應用程式開發商遵從規定。