日期: 2017年2月15日
私隱專員重申PopVote普及投票系統可能違反保障資料原則
強烈要求繼續停止不公平收集個人資料
及停用所涉的Telegram 通訊程式
香港個人資料私隱專員(「私隱專員」)黃繼兒今日應邀與「公民聯合行動」代表會面,重申「2017特首選舉民間全民投票」活動(「活動」)之「PopVote 普及投票系統」涉及不公平收集個人資料的情況及保安漏洞。鑑於明顯和持續性的保安風險,私隱專員再次強烈要求有關活動繼續停止收集及停用所涉的Telegram 通訊程式。
在今日的會面中,私隱專員闡述以下的關注及涉嫌違反《個人資料(私隱)條例》(「條例」)下
公平收集個人資料的原則
1的觀察:
收集資料的目的和合法理據欠奉(例子)
-
有關活動的標題為「2017特首選舉民間全民投票」,以及「全民網上提名候選人」,並明示有「提名」和「投票」兩階段,而活動沒有說明其背景及目的,及沒有跟隨以往類似活動的做法,說明是「非官方」或「不具法律效力」等字句,造成混亂,或有誤導之嫌。
資料使用者的身份不清晰(例子)
-
PopVote的網頁表示有關活動是由「公民聯合行動」委託香港大學民意研究計劃與香港理工大學社會政策研究中心舉辦,但其他人士和機構曾公開表示有份策劃或參與,使收集和使用資料的身份變得模糊,問責性因而受損。
-
PopVote的網頁顯示香港大學的校徽,聯絡地址為香港大學內的一個辦公室,而聯絡電郵的域名亦包含「.hku.hk」;顯示PopVote與香港大學關係密切,但其網頁的最下方又以細小字體註明「本網站內一切內容由民意研究計劃總監鍾庭耀博士負責,與香港大學立場無關」,可能引起誤會。
「個人資料收集聲明」具誤導性(例子)
-
PopVote在其「個人資料收集聲明」中表示,參加者的身份證號碼會變成一個獨有但不能還原的亂碼,然後才提交予PopVote的系統,因此PopVote不會收集或保留參加者的的身份證號碼。
-
然而,有資訊科技專家認為由於身份證號碼本身的組合有限,有關亂碼很輕易便能被破解及還原。按香港個人資料私隱專員公署(「公署」)發出的《身份證號碼及其他身份代號實務守則》第1.3段,「香港身份證號碼」包括其原本的號碼及任何經修改的形式,所以變成亂碼後的身份證號碼仍屬《守則》釋義下的「香港身份證號碼」,並受條例保障。因此有關「不收集及保存身份證號碼」之說有誤導公眾之嫌。
私隱專員引用以往性質類近的活動的例子,強調是次活動容易誤導參與的人士(或部份參與者):「相對而言,過往類似活動說明其目的,令人較為清楚明瞭。如2012年香港大學民意研究計劃舉辦之『3.23民間全民投票計劃』,其背景及目的已闡明是將民意調查結果供巿民和選委參考,同時指出該次投票活動沒有法律效力。然而是次活動並沒有此說明,亦沒有提出與現行法律或機制的分別。另一方面,以往的類似活動,只圍繞已正式參選的候選人進行意見調查,而是次活動包括提名候選人(但包括未正式宣佈參選的人)及下一階段進行投票,與正式的選舉程序造成混淆,更容易誤導參與者,尤其是旅居海外的香港人。」
此外,私隱專員在會面中再次提出有關活動的保安漏洞,例如上述轉化成亂碼的身份證號碼很輕易便能被破解及還原,增加資料外洩的風險。而PopVote以即時通訊程式 Telegram 來驗證參與者的身份以進行投票,其做法亦已被包括本地的電腦保安專家質疑。事實上有關主辦組織曾公開承認PopVote存在保安漏洞及須進行修補,加上主辦組織至今未有採取加強保安的措施釋除公眾疑慮,有關活動存在一定的私隱風險,可能違反條例的資料保安原則
2。
公署已就事件展開循規審查,並強烈要求
有關機構必須按法例要求,1)以合法和公平的方式收集他人的個人資料;和2)採取所有合理地切實可行的保安措施,保障參加者的個人資料安全,否則須繼續停止有關活動。而
一般市民應在參與活動前清楚了解活動的目的及所帶來的私隱風險和相關後果。
註1:保障資料第1原則(「收集資料原則」)— 資料使用者須以合法和公平的方式,收集他人的個人資料;其收集目的應直接與其職能或活動有關,而所收集的資料就有關目的而言屬足夠但不超乎適度。同時資料使用者須以切實可行的方法告知資料當事人收集其個人資料的目的,以及資料可能會被轉移給哪類人士。
註2:保障資料第4原則(「資料保安原則」)— 資料使用者須採取所有切實可行的步驟確保個人資料的保安,以免個人資料受未獲授權或意外的查閱、處理、刪除、喪失或使用所影響。
- 完 -