消委会｜拦截电话CallApp可存取达8项个人资料　易被反向搜索泄密

本港的垃圾电话问题猖獗，消委会近日实测市面上5款较受欢迎的垃圾电话拦截程式，并于今日（16日）发布结果，发现部份程式会把用户的通讯录上载到伺服器供其他用户反向搜索，其中CallApp在注册时更有机会存取多达8项个人资料，提醒消费者要留神。

Facebook注册可存取相片、朋友名单等

消委会今日发布最新一期《选择》月刊，其中实测市面上5款较受欢迎的垃圾电话拦截程式，包括CallApp、小熊来电Call Defender、芝麻来电Jima Caller ID、Truecaller及Whoscall。5款程式除了提供免费拦截服务外，全部另设付款功能，价钱由最低每月8元至最高每年1,790元不等，尤以Truecaller的Premium Gold为最昂贵的计划。

测试由消委会职员于2月至4月期间进行，当中CallApp在用户注册时除索取电话号码外，如以登入Facebook帐户的方法注册，将要求存取多达8项个人资料，包括姓名、个人头像、电邮地址、出生日期、相片、影片、朋友名单以及生活时报连结。不过，消费者亦可以其他方式，例如登入google帐户来注册，只需提供姓名、电邮地址及个人头像。

另外，小熊来电Call Defender及Truecaller会要求验证电话号码，前者的开发商表示，有关措施为确保汇报资料的可靠性和打击恶意举报等滥用行为，而用户提供的电话号码会被城市自动转换成杂凑值（hash value）且无法被还原，因此不能被用于识别用户身份。

大部分程式要求存取通讯录　易被反向搜索亲友资料

消委会又指出，许多垃圾电话拦截程式需要存取通讯录方能识别联络人的来电，调查发现，CallApp取得该权限后，通讯录所有联络人资料同时被自动上载和整合到商户的电话资料库中，并可供其他用户搜索。换言之，如有用户在通讯录储存了亲友的电话号码，而在使用该程式时同意被读取通讯录，即使该些亲友本身从未下载或批准该程式使用其个人资料，其资料也会被取用和上载。消委会形容“做法有欠公允之余，亦令人防不胜防。”。

消委会解释，通讯录资料一旦被录入CallApp的资料库后，其他用户便可透过程式内的“反向搜索”（reverse lookup)功能，输入他人的电话号码以追溯该号码持有者身份，以及查阅其中、英文姓名、电邮地址，甚至社交媒体连结等个人资料。

另外，消委会指如经Truecaller官方网站下载该程式档案（APK档），则会获额外提供“强化搜寻”（Enhanced Search Functionality)功能，启用后同样会将通讯录资料分享于程式，并将联络人姓名等个人资料加入到商户的电话资料库中，供其他用户搜寻。

实测发现竟可查看住址、租金资料

消委会利用只载有消委会新登记电话号码的模拟联络人的手机，实测5款程式的反响搜索功能时，发现有职员及其亲友的电话号码皆可在CallApp及Truecaller的资料库中搜索得到，号码持有人的姓名等资料，毋须经相关人士批准便可在程式中任意查看，当中更包括了旧有住址、每月租金等敏感资料也被显示在姓名一栏中。

消委会提醒，如不幸发现自身的电话号码被程式上载及供他人搜索，可要求有关商户将其删除，并紧急与相关页面或电邮输入该号码所属区号，例如香港的+852。

另外，是次调查的部分拦截程式可能并非于香港营运。消费者如欲对程式开发商做出追讨，或会遇上一定困难，故选用有关程式时宜多加注意。