私隱署報告揭Facebook、IG收集資料多達19種 WeChat無端對端加密
私隱專員公署今日(12日)發表社交媒體私隱設計的調查報告,檢視Facebook、Instagram、Whatsapp、WeChat等10款港人最常用的社交媒體程式,發現相關程式收集的個人資料最多可達19種,其中以Facebook、Instagram最多。個別程式更會收集用戶的位置資料,而程式私隱政策亦列明,收集到的資料會轉移到其附屬公司。
至於通訊安全方面,WeChat是今次受調查媒體中,唯一一款通訊軟件,在用戶傳送訊息時,沒有採取端對端加密;而LINE則沒有提供雙重認證功能。
公署提醒用戶,在社交媒體披露的個人資料,或會被用作「起底」、網絡欺凌、網絡釣魚,甚至其他不法行為。私隱署向社交媒體提出六大建議,包括主動應對「起底」、數據擷取或其他非法行為,並限制搜尋用戶的方式。
私隱專員公署公布《社交媒體私隱設定大檢閱》報告,檢視本港十大最常使用的社交媒體,包括Facebook、Facebook messenger、Instagram、Whatsapp、WeChat(微信)和YouTube等,被檢視的媒體收的個人資料種類繁多,多達12至19種。
十款社交媒體均有位置追蹤功能
當中同屬Meta的Facebook、Facebook Messenger和Instagram以收集19種個人資料居榜首,雖然YouTube取用的資料最少,但仍有12種。報告又揭發,所有社交媒體均有位置追蹤功能,並會收集用戶的位置資料(不論是用戶精準或粗略位置),大部份社交媒體更會儲存用戶的信用卡資料。
報告又指,被檢視的即時通訊軟件,只有WeChat沒有在用戶傳送訊息時,採用端對端加密,有損資料傳送的保密性;至於帳戶安全方面,則只有LINE沒有提供雙重認證功能,其餘媒體雖然有提功相關功能,但並非強制性,用戶要主動開啟有關功能。
WeChat、WhatsApp及LINE 刪除帳戶前不需再確認用戶身份 或無法復原
值得注意的是,LINE、WeChat和WhatsApp未有在刪除帳戶前再次確認用戶身份,若帳戶一旦被人惡意刪除則可能無法復原,故用戶應採用強碼及開啟雙重認證功能,以加強保護帳戶安全。
僅Skype和YouTube預設將用戶年齡及電話號碼隱藏
在預設私隱設定方面,Skype和YouTube均預設將用戶的年齡及電話號碼隱藏,而其他被檢視的社交媒體則預設公開用戶的年齡、位置、電郵地址或電話號碼等。不過,Facebook、LINE、WeChat和YouTube的用戶,均可在向特定對象發布內容,或按預設組別發布內容,而且可在發布後再修改有關內容的私隱設定。
另外,10個媒體都有擬定私隱政策,並列明會將用戶個人資料轉移到其附屬公司,用戶能否容易理解到私隱政策,報告認為Twitter、WeChat和YouTube的私隱政策的易讀性評分最高,而未獲滿分的社交媒體主要是欠缺以圖片、表格或短片輔助說明私隱政策,而Twitter則沒有提供中文版本的私隱政策,不懂英文的用戶可能難以掌握社交媒體在處理個人資料方面的政策。
YouTube私隱評分最高 LINE包尾
報告解構社交媒體所收集的個人資料、私隱政策、私隱相關功能、私隱版面易用性等範疇後,作出整體評分,以5分為滿分。私隱署今次檢視的十款社交媒體程式中,YouTube以4.5分稱冠,其次則是通訊軟件Facebook Messenger和Skype,兩個程式同獲4分,至於LINE則以2.5分排「包尾」。
鍾麗玲︰用戶在使用社交媒體時要提高警覺
個人資料私隱專員鍾麗玲提醒,市民使用社交媒體時,或涉及個人資料被濫用、擷取或外涉風險,公開的個人資料被其他人彙編後可用作「起底」、「網絡欺凌」或「網絡釣魚」,以至其他不法行為,導致用戶蒙受財產損失,甚至身體或心理傷害。她呼籲用戶在使用社交媒體時要提高警覺,以減低個人資料所帶來的風險。
WeChat︰軟件已使用高階加密標準技術
對於被揭無使用端對端加密技術,WeChat表示,軟件已使用高階加密標準技術,惟有關技術僅限服器和用戶裝置之間的數據傳輸,另外WeChat又指,在用戶刪除帳戶的過程中,系統會在「特定情況」下要求用戶在登錄時雙重認證。
LinkedIn則表示其應用程式,在註冊過程中所收集的個人資料,只限於在其私隱政策中所列明的項目,應較檢視所顯示的項目少,經檢視人員反覆測試後,證實相關社交媒體收集的個人資料數量多於其私隱政策所述。
Meta︰私隱政策符合私隱公署的建議
代表旗下Facebook、Facebook Messgenger的Meta和WhatsApp則認為,其私隱政策符合私隱公署的建議,並以清晰易明的字眼、加插圖片等提高透明度,平台亦提供供「幫助中心」(Help Centre)協 助用戶找尋私隱指南及常見的私 隱相關問題。
Microsoft則代表旗下Skype指,其應用程式只屬於個人通訊平台而非社交媒體,不應與其他社交媒體作比較,又稱它們設有獨立網頁,讓年青人更容易理解相關的私隱政策。
私隱署表示,已將今次的報告送交各社交媒體營運者,並提供六項建議,包括:
1. 應持續採取「貫徹私隱的設計」,改善其服務,並向用戶提供更多私隱相關功能,增加用戶的選擇;
2. 避免收集的個人資料超乎所提供的服務需要;
3. 訂定清晰易明的私隱政策,用字不應含糊籠統,並採用分層式展示,或以圖片、表格或短片輔助說明,以增加私隱政策的易讀性;
4. 不應將位置追蹤功能預設為開啟;
5. 應提供端對端加密及雙重認證功能,以加強保障用戶的個人資料
6. 應主動應對「起底」、「「數據擷取」或其他非法行為,限制搜尋用戶的方式。
私隱署亦向社交媒體用戶提出八項建議:
1. 在註冊帳戶前,細閱社交媒體的私隱政策、開設專為社交媒體而設的電郵帳戶,並只提供必須的個人資料;
2. 檢查社交媒體的預設保安或私隱設定,以及個別社交媒體搜尋用戶的方式,將個人資料隱藏並設置最高私隱權限;
3. 若無須使用裝置內的位置追蹤功能,考慮關閉有關功能;
4. 在發布內容前留意發布內容的私隱選項以選擇適合設定;
5. 在選用即時通訊軟件前,留意相關的軟件有否提供端對端加密傳送技術,以加強傳送資料的保密性;
6. 採用強密碼,並啟用社交媒體的雙重認證功能,以加強保障帳戶安全;
7. 盡量避免在公共Wi-Fi或不安全的Wi-Fi連接下,在社交媒體交易,以減低信用卡資料外洩的風險;
8. 家長/監護人可考慮啟用家長管控功能,提醒子女過度披露或分享個人資料的後果
