身兼高教界選委的香港大學副教授戴耀廷的「2017特首選舉民間全民投票」PopVote 開始後,被科技界指可能涉及資訊保安風險,可能侵犯了私穩。個人資料私隱專員公署今日表示,留意到該投票系統或涉及的個人資料私隱及保安問題,亦認為活動或違反了《個人資料(私隱)條例》下公平收集個人資料的原則,並強烈要求有關機構立即停止不公平收集個人資料,及停止使用有關的 Telegram通訊程式。
戴耀廷的民間公投展開後,「前線科技人員」在facebook專頁稱,投票人要輸入電話號碼,透過Telegram認證。「前線科技人員」指,輸入認證碼及雙重認證後,理論上相關人士可讀取投票者在Telegram所有訊息,是嚴重保安漏洞。
私隱專員公署初步調查後,今天發出新聞稿,指已留意到由「公民聯合行動」委託、香港大學民意研究計劃與香港理工大學社會政策研究中心舉辦的「2017 特首選舉民間全民投票」,公署認為有關活動進行時涉及收集個人資料,而有關活動和收集的目的透明度不足,尤其是沒有說明有關活動與現行法例下的機制和程序的分別,有誤導公眾和損害公眾利益之嫌。
個人資料私隱專員黃繼兒指出:「任何人藉現行法律或機制的名義或性質,進行法律或機制外的活動,期間收集個人資料,但沒有清楚說明收集目的和用途的合法理據,尤其是活動擬定的目的和後果涉及公眾關注和受影響的重大議題,因而誤導參與活動的人士(或部份參與者),及資料和數據有被誤用或濫用之嫌,我認為這是違反了《個人資料(私隱)條例》下公平收集個人資料的原則。」
公署又指,有鑑於有資訊科技專家和組織指出,PopVote 普及投票系統將收集的個人資料「去識別化」的技術,輕易便能被即時解讀而還原成可識別的資料。而 PopVote 以即時通訊程式 Telegram 來驗證參與者的身份以進行投票,其做法亦已被電腦保安專家質疑。存在一定程度的私隱風險,不單有機會帶來無法彌補的嚴重後果,更可能違反條例的資料保安原則。」
因此公署強烈要求有關機構立即停止不公平收集個人資料及使用有關的 Telegram 通訊程式;一般市民應在參與活動前清楚了解所帶來的私隱風險和相關後果。公署並已就事件展開循規審查。
法律界人士指出,有關活動號稱「2017特首選舉民間全民投票」,主辦機構收集個人資料時,沒有向參加者説明和現行特首選舉的分別,也沒有充分說明收集資料的目的和後果,已涉嫌違規收集個人資料。
Ariel
** 博客文章文責自負,不代表本公司立場 **
