近日有科技媒體報道,Meta(舊稱Facebook)旗下Facebook、Instagram和Whatsapp在用戶禁止其程式收集位置數據後,仍可以透過用戶上傳的照片進行追蹤和資料收集。之後有網絡安全人員進一步揭發Facebook利用智能手機的加速度計(Accelerometer),秘密搜集用戶數據,從而推斷用家位置和作息。

雖然加速度計是第一代智能手機已配備的零件,但認識它的人甚少。加速度計是物理儀器,加速度的出現會令儀器內的彈簧產生變移位,影響兩極的電壓,電壓再轉化為訊號。最早於1920年代開始成型,之後量產以讀取橋樑的衝力承受和飛機抗震能力,再持續改良並拓展至其他領域,包括汽車衝力計算、計步器、建築監測等。而手機內置的加速器是三軸的,整合各方向的震動數據便能判斷手機的運動狀態,從而做到畫面旋轉功能。

對於手機加速計的權限設置,目前Android和iOS系統均沒有相關選項。因為加速計不是獨立運用的功能,而是輔助零件,不具備高階的演算能力,也不牽涉網絡或直接的個人資料,只是感應震動。而健身程式多會要求「識別體能活動」 的權限,裏面包含加速計在內的多個感應器。

加速器的數據整合能夠輕易推斷用家的個人作息規律,例如多數用家都是把屏幕直向作日常使用、橫向屏幕作遊戲和影片觀看、休息時間則把手機平放,讀取「橫、直、平放」這三種數據已經能粗略評估用家的睡眠、手機娛樂和非娛樂時間。而加速器能感應更細緻的震動,例如乘車時的車輛震動和用家步行不同路段(如樓梯和斜坡)的震動變化。

當配合其他人的數據時,更能推斷位置和身邊的人的資訊。例如乘坐同一輛巴士的用家手機都會有相同的震晃頻率,而震動維持時長及變化可以推測移動距離和路況。電腦只要把擁有相近震幅的用家數據篩選出來比對,便能得知用家的知情群組(如公司同事)和非知情群組(如乘坐同一路線的用戶)的分佈和動向。

現時香港個人資料私隱專員公署一直跟進智能手機的用戶私隱安全。所有公私營機構、資料使用者在處理用戶個人資料時都須遵從《個人資料(私隱)條例》的六項原則,當中第一原則訂明資料使用者在個人資料的收集手法須合法公平、收集的資料對使用目的是必須及直接相關、資料收集範圍應足夠但不超乎適度、及對用戶的告知和用戶權利上的規範。

另外,私隱公署一直與政府研究修訂《私隱條例》並徵詢立法會意見。 修訂方向包括:設立強制性資料外洩通報機制;訂定資料保留時限;賦予個人資料私隱專員行政罰款的權力;及規管資料處理者等,加強保障個人資料。

科創力量成員兼香港資訊科技聯會會長邱達根表示,要真正保障用戶數據就必須從政府立例規管和提升用戶知情權入手。以往政府各部門發出的指引並無法律效力,在用戶數據的價值和用途持續開發下,各個商家都盡可能收集數據作個人化推銷等用途,在平價手機、免費軟件背後,以用家的資料作為間接的等價交易已成趨勢。

另一方面,用戶對各軟硬件數據讀取利弊風險應有更高知情權。每個用戶對數據讀取的取態不同,有人願意提供個人資料去得到服務,也有人注重個人私隱而拒絕使用服務。政府應參考消委會模式,不時抽查程式,發布程式漏洞和數據使用信息,讓用家多加留意。

中大信息工程學系劉永昌教授則認為網絡私隱問題是上世紀網絡誕生時已經存在,用家一直處於被動。最早期的軟硬件營銷已經是「用家承擔所有責任」,用家只有「用或不用」的選擇,商家不會保障數據錯漏造成的損失,用家無法像買車買衫去要求賠償。這個模式一直為大多數人所接納,除非整個網絡有新的運作模式供人選擇,否則用戶仍然沒有討價還價的能力。

責任編輯: 蔡洋子