用戶在智能手機下載應用程式時,都會留意到有些程式要求查閱用戶的私人資料。近年個人資料外洩、保安漏洞等問題頻頻出現,程式要求讀取的私人資料是否合理亦成為用戶選擇應用程式的考慮因素之一。香港個人資料私隱專員公署早前舉辦「研發流動應用程式—顧及私隱和保安論壇」,為本年「國際IT匯」活動之一。 私隱專員黃繼兒提醒年輕人應注意保護個人資料,又促請業界以「貫徹私隱設計 (Privacy by Design)」原則開發應用程式,論壇亦邀請到程式開發及保安方面的專家與大家探討相關議題。
私隱專員促請業界保障用戶個人私隱
私隱專員黃繼兒出席活動致辭時表示,根據政府通訊事務管理局辦公室 (OFCA) 的統計數字,全港 700 萬人口就擁有1,400 萬張啟用了的 Sim 卡,更有 500 萬名 10 歲以上人士擁有智能手機,可見智能手機在港的普及率和流行程度甚高。
他又提到在大數據時代,整合數據使用對商業機構而言是很大的商機,但亦令安全資訊受到前所未有的挑戰。跟據個人資料私隱專員公署於2012 年進行的調查發現,1000 名受訪的智能手機用戶當中,僅有少於三成受訪者會閱讀應用程式的私隱條款,由此可見用戶對保障私隱的意識偏低。
黃繼兒指出,若未有仔細閱讀應用程式的私隱條款,日後用戶就個人資料的使用作出投訴時,恐會遇上法律觀點的爭拗。最後他亦提醒年輕人應注意保護個人資料及有權拒絕接收直銷訊息,同時亦促請業界以「貫徹私隱設計 (Privacy by Design)」原則開發應用程式,以尊重及保護使用者的個人資料。
開發商教路三大原則保障客戶私隱
開發出「衝廁」、「洗車俠」的應用程式開發商 Nuthon IT Solution 創辦人杜振康在論壇上分享作為開發商可如何盡責任保護客戶的個人資料。
杜振康表示,個人敏感資料的外洩可能會為用戶帶來嚴重經濟損失,他舉例指不少人可能認為只需保護最重要的資料,如信用卡的安全碼即可確保安全,但實際上不少網站可能僅需要信用卡的卡號、到期日及持卡人姓名就能成功交易。若用戶沒有足夠的安全意識,於社交網絡中曾分享過相關資訊,就可能有被不法分子盜取及使用資料的危險。
杜振康認為應用程式開發商有責任保障客戶的私隱,他指業界強調應用程式應提供良好的用戶體驗 (UX),而好的 UX 除了體現在設計和技術上,亦體現於能否給予用戶足夠的信心使用,這視乎應用程式能否保障好用戶的個人資料。杜振康建議開發商可依從三大原則運作:不需要的資料不要索取;收集到的資料要保護好;使用了的資料和用途要向用戶說明。
安全專家提醒謹慎進行網上交易
除了個人資料及私隠的保障,論壇亦關注應用程式在保安上的問題。專業資訊保安協會 (PISA) 榮譽秘書及司庫范健文表示,去年 PISA 與香港電腦保安事故協調中心(HKCERT)進行「香港流動應用程式交易安全」研究,測試了 130 個本地用戶常用的香港網上交易服務流動應用程式,發現逾三分一應用程式在處理個人及交易資料時,通訊加密保安不足,容易被黑客盜取用戶敏感的個人及交易資料。
他續指黑客可使用中間人攻擊方式盜取用戶交易資料,因此建議開發商應加強應用程式的保安設施,使用通訊加密技術(SSL)、驗證數碼證書及證書鑑定等安全技術,並參考《流動應用程式(SSL實施)最佳行事指引》。同時呼籲市民應避免使用公共 Wi-Fi 網絡進行網上銀行交易,並只使用從官方應用程式商店中下載的應用程式,不要安裝來歷不明的程式。