私隐署报告揭Facebook、IG收集资料多达19种 WeChat无端对端加密
私隐专员公署今日(12日)发表社交媒体私隐设计的调查报告,检视Facebook、Instagram、Whatsapp、WeChat等10款港人最常用的社交媒体程式,发现相关程式收集的个人资料最多可达19种,其中以Facebook、Instagram最多。个别程式更会收集用户的位置资料,而程式私隐政策亦列明,收集到的资料会转移到其附属公司。
至于通讯安全方面,WeChat是今次受调查媒体中,唯一一款通讯软件,在用户传送讯息时,没有采取端对端加密;而LINE则没有提供双重认证功能。
公署提醒用户,在社交媒体披露的个人资料,或会被用作“起底”、网络欺凌、网络钓鱼,甚至其他不法行为。私隐署向社交媒体提出六大建议,包括主动应对“起底”、数据撷取或其他非法行为,并限制搜寻用户的方式。
私隐专员公署公布《社交媒体私隐设定大检阅》报告,检视本港十大最常使用的社交媒体,包括Facebook、Facebook messenger、Instagram、Whatsapp、WeChat(微信)和YouTube等,被检视的媒体收的个人资料种类繁多,多达12至19种。
十款社交媒体均有位置追踪功能
当中同属Meta的Facebook、Facebook Messenger和Instagram以收集19种个人资料居榜首,虽然YouTube取用的资料最少,但仍有12种。报告又揭发,所有社交媒体均有位置追踪功能,并会收集用户的位置资料(不论是用户精准或粗略位置),大部份社交媒体更会储存用户的信用卡资料。
报告又指,被检视的即时通讯软件,只有WeChat没有在用户传送讯息时,采用端对端加密,有损资料传送的保密性;至于帐户安全方面,则只有LINE没有提供双重认证功能,其余媒体虽然有提功相关功能,但并非强制性,用户要主动开启有关功能。
WeChat、WhatsApp及LINE 删除帐户前不需再确认用户身份 或无法复原
值得注意的是,LINE、WeChat和WhatsApp未有在删除帐户前再次确认用户身份,若帐户一旦被人恶意删除则可能无法复原,故用户应采用强码及开启双重认证功能,以加强保护帐户安全。
仅Skype和YouTube预设将用户年龄及电话号码隐藏
在预设私隐设定方面,Skype和YouTube均预设将用户的年龄及电话号码隐藏,而其他被检视的社交媒体则预设公开用户的年龄、位置、电邮地址或电话号码等。不过,Facebook、LINE、WeChat和YouTube的用户,均可在向特定对象发布内容,或按预设组别发布内容,而且可在发布后再修改有关内容的私隐设定。
另外,10个媒体都有拟定私隐政策,并列明会将用户个人资料转移到其附属公司,用户能否容易理解到私隐政策,报告认为Twitter、WeChat和YouTube的私隐政策的易读性评分最高,而未获满分的社交媒体主要是欠缺以图片、表格或短片辅助说明私隐政策,而Twitter则没有提供中文版本的私隐政策,不懂英文的用户可能难以掌握社交媒体在处理个人资料方面的政策。
YouTube私隐评分最高 LINE包尾
报告解构社交媒体所收集的个人资料、私隐政策、私隐相关功能、私隐版面易用性等范畴后,作出整体评分,以5分为满分。私隐署今次检视的十款社交媒体程式中,YouTube以4.5分称冠,其次则是通讯软件Facebook Messenger和Skype,两个程式同获4分,至于LINE则以2.5分排“包尾”。
钟丽玲︰用户在使用社交媒体时要提高警觉
个人资料私隐专员钟丽玲提醒,市民使用社交媒体时,或涉及个人资料被滥用、撷取或外涉风险,公开的个人资料被其他人汇编后可用作“起底”、“网络欺凌”或“网络钓鱼”,以至其他不法行为,导致用户蒙受财产损失,甚至身体或心理伤害。她呼吁用户在使用社交媒体时要提高警觉,以减低个人资料所带来的风险。
WeChat︰软件已使用高阶加密标准技术
对于被揭无使用端对端加密技术,WeChat表示,软件已使用高阶加密标准技术,惟有关技术仅限服器和用户装置之间的数据传输,另外WeChat又指,在用户删除帐户的过程中,系统会在“特定情况”下要求用户在登录时双重认证。
LinkedIn则表示其应用程式,在注册过程中所收集的个人资料,只限于在其私隐政策中所列明的项目,应较检视所显示的项目少,经检视人员反复测试后,证实相关社交媒体收集的个人资料数量多于其私隐政策所述。
Meta︰私隐政策符合私隐公署的建议
代表旗下Facebook、Facebook Messgenger的Meta和WhatsApp则认为,其私隐政策符合私隐公署的建议,并以清晰易明的字眼、加插图片等提高透明度,平台亦提供供“帮助中心”(Help Centre)协 助用户找寻私隐指南及常见的私 隐相关问题。
Microsoft则代表旗下Skype指,其应用程式只属于个人通讯平台而非社交媒体,不应与其他社交媒体作比较,又称它们设有独立网页,让年青人更容易理解相关的私隐政策。
私隐署表示,已将今次的报告送交各社交媒体营运者,并提供六项建议,包括:
1. 应持续采取“贯彻私隐的设计”,改善其服务,并向用户提供更多私隐相关功能,增加用户的选择;
2. 避免收集的个人资料超乎所提供的服务需要;
3. 订定清晰易明的私隐政策,用字不应含糊笼统,并采用分层式展示,或以图片、表格或短片辅助说明,以增加私隐政策的易读性;
4. 不应将位置追踪功能预设为开启;
5. 应提供端对端加密及双重认证功能,以加强保障用户的个人资料
6. 应主动应对“起底”、““数据撷取”或其他非法行为,限制搜寻用户的方式。
私隐署亦向社交媒体用户提出八项建议:
1. 在注册帐户前,细阅社交媒体的私隐政策、开设专为社交媒体而设的电邮帐户,并只提供必须的个人资料;
2. 检查社交媒体的预设保安或私隐设定,以及个别社交媒体搜寻用户的方式,将个人资料隐藏并设置最高私隐权限;
3. 若无须使用装置内的位置追踪功能,考虑关闭有关功能;
4. 在发布内容前留意发布内容的私隐选项以选择适合设定;
5. 在选用即时通讯软件前,留意相关的软件有否提供端对端加密传送技术,以加强传送资料的保密性;
6. 采用强密码,并启用社交媒体的双重认证功能,以加强保障帐户安全;
7. 尽量避免在公共Wi-Fi或不安全的Wi-Fi连接下,在社交媒体交易,以减低信用卡资料外泄的风险;
8. 家长/监护人可考虑启用家长管控功能,提醒子女过度披露或分享个人资料的后果