時事分析 | 創新及科技發展 | 2016-09-05 | 《信報》

分享無關痛癢的資訊 為何會出賣了你的私隱?



一名英國藝術家截取了一些由香港網絡攝影機拍攝的圖像,置於倫敦一間美術館展出,引起香港個人資料私隱專員公署關注。那些圖像的拍攝地點包括商場、旅行社和家居,部分人的容貌清晰可見,惟本港的相關條例在境外並無法律效力,只能聯絡英國當局跟進。[1]

圖像被截取卻難以追究,用戶自然該高度警戒,避免私隱外洩。然而,你有否想過一張上載Facebook的自拍照、一個Twitter貼文,這些看似無關痛癢的公開資訊,同樣可以出賣重要的私隱?

舉個例子,麻省理工學院和牛津大學的研究發現,人們一日內只須在Twitter發文八次,即使「有心人」沒有任何專門技術或相關知識,都能輕易掌握Twitter用戶的行蹤。研究邀請45名英國牛津市民,要求他們運用三種不同地圖工具,畫出遠在美國波士頓的Twitter用戶發文時的所在位置,並推測用戶的住家、上班地點及上班路線。結果發現,65%市民大致知道Twitter用戶的住家位置,70%能推算其工作地點。倘若連續五天觀察Twitter用戶的發文,掌握其上班地點的準確度更高達85%。由此可見,即使普通人也能透過Twitter用戶自願、主動提供的公開資料作為線索,輕易窺視Twitter用戶的私隱。[2]

自拍照+人臉辨識技術+雲端運算=大起底

美國有行為經濟學家更指出,全球上載照片量與日俱增,人臉辨識技術的發展一日千里,只要將技術與社交網站豐富的公開數據及雲端運算技術結合,人們可單憑一張無名氏的照片,搜刮出相當於香港身份證號碼的重要個人資料。[3]這些經濟學者在當地大學校園進行實驗,邀請路人自拍後填寫問卷,其間上載他們的照片到雲端,利用人臉辨識系統與載有數十萬張Facebook個人頭像的資料庫進行配對[4],結果有三分之一機會,系統能夠在毫無進一步線索下,單憑照片便在茫茫人海中找到同一個「他」。[5]

研究人員其後利用受訪者的頭像,從互聯網的公開資料中「起底」,得到受訪者的姓名、家鄉等資料,再與美國社會安全局的資料庫結合,推測出極敏感的非公開資料[6],包括可識別個人身份的社會安全號碼(SSN)頭五位數字。次輪實驗命中率稍跌,但「撞」四次就能破解SSN頭五位數字的機會仍有27%。[7]

看到以上研究結果,一些香港人或許慶幸自己並非身處美國,沒有SSN可供出賣。然而另有研究指出,一張上載Facebook的自拍照,也可能影響我們的職場命運。因為不少僱主都會在招聘過程中,查看求職者的社交網站帳戶,其中Facebook個人資料照片較吸引的求職者,獲邀面試的機會較其他人高出39%,他們成功獲聘的機會亦最高。[8]

歐盟訂立被遺忘權

或許有人認為,只要不公開社交網站的個人資料,甚至「隱惡揚善」,換上討人喜歡的頭像、分享具國際視野的新聞,為自己營造出色、可靠的形象,就可以操控陌生人對自己的第一印象。不過,我們在網絡世界的足跡,往往會留下不能磨滅的紀錄,想刪除「不光彩」的過去,恐怕不易。

今年4月,歐洲議會通過修訂「一般資料保護規章」,重點修訂包括落實被遺忘權(Right to be forgotten)、資料使用者處理資料當事人[9]的個人資料前須先得到明確同意等(表一)。[10]截至8月中,Google已接獲近53萬個移除指定網站連結的要求,並按要求移除逾163萬個連結。[11]當然,倘若相關連結資料涉及金錢詐騙、專業失當、刑事罪行或政府官員操守等公眾利益,要求可能被駁回。例如曾因持有兒童色情物品被定罪的法國神職人員,要求Google移除與其判決及被逐出教會的相關報道,Google經評估後拒絕,未有從查詢搜尋結果中移除相關網站連結。[12]

資料來源:歐洲議會

選擇性「放料」 由第三者把關

儘管學者不斷提醒,我們在網絡世界的一舉一動都可能自揭私隱,但在大數據時代,人們樂此不倦地自揭身世,總有誘因。舉例說,在餐廳指南網站透露自己身在何方,就是尋求「明燈」,希望獲得附近人氣餐廳的指引;在化妝品網站填寫個人姓名、電話號碼,也是為了換領化妝品試用裝等「着數」。

無可否認,我們有時向網站提供平日不隨便透露的個人資料,某程度上乃「你情我願」,以換取網站提供更切合自己需要的資訊或者優惠。然而,除了被動地等待立法規管,我們是否別無他法,要麼提供資料,任資料使用者擺佈,要麼拒絕提供資料,卻無法取得需要的資訊?最近有專家提供另類選擇。

為了阻止Google、Amazon、Facebook等資料使用者過度索取個人資料,麻省理工學院有研究團隊正研究名為openPDS的開放式個人資料儲存概念。openPDS的原理,是資料使用者如要取得我們個別的個人資料,需要先向雲端加密伺服器「申請」,申報需要甚麼個人資料及會如何使用相關資訊,再由加密伺服器問准我們,取得同意才讓資料「放行」。與目前資料使用者通知會存取我們的個人資料不同,openPDS取代資料使用者儲存個人資料的角色,確保資料使用者無法過度收集、儲存及分析個人資料[13],我們亦可控制向資料使用者提供甚麼特定資料,放料前「停一停,諗一諗」,確保不會洩露過多個人資料。

港私隱條例未及更新

正當全球執法機構與日新月異的科技罪行競賽,除了《電訊條例》及《刑事罪行條例》就非法取用電腦及電腦資料訂定一般罪行,《個人資料(私隱)條例》自2012年起未有更新。面對前述的跨境截取網絡攝影機圖像事件,有關條例似乎亦束手無策。歐洲議會4月通過的議案,個人資料私隱專員公署(公署)表示,會密切留意議案進展,進行比較研究及分析,並計劃就大數據及物聯網相關的私隱議題進行研究。[14]

至於應否仿傚歐盟引入被遺忘權,公署曾稱或會聯同亞太區私隱機構成員,與Google等搜尋器營運者商討亞太區用家在這方面可行使的權利。[15]不過,香港有網民反對引入被遺忘權並發動聯署,指香港未設立《檔案法》及《資訊自由法》,方便市民索取政府文件和監察施政,亦擔心近年新聞自由遭削弱,倘若賦予Google等私人企業移除網站連結的權利,他們為求快捷了事,或許會在未核實申請個案是否有足夠理據前,便將關乎公眾利益的連結移除。[16]

個人資料網上外洩 投訴個案四年增四倍

近年有關個人資料透過互聯網外洩的投訴急增。公署去年接獲241宗與資訊及通訊科技有關的投訴,四年內急升近四倍,創歷年新高,主要涉及使用流動應用程式及社交網站的爭議、在互聯網披露或洩漏個人資料及網絡欺凌。[17]

公署2014年的抽查亦發現,45%本地手機應用程式沒有提供私隱政策聲明[18],當中72%無清晰交代會否讀取及為何讀取資料,比率高於該年全球同類調查結果(59%)。另85%應用程式過度索取個人資料,比率同樣高於全球(31%)。[19]

即使手機應用程式提供私隱政策聲明,內容往往洋洋萬字,其中Android和iOS兩大手機系統在香港首十位的熱門應用程式,其聲明及使用條款平均逾7,000字,且多以英文撰寫[20],看似巨細無遺,但用戶難有耐性細閱。所謂「魔鬼藏在細節」,出賣閣下私隱的可能只是一條不起眼的條款。其中Facebook的私隱政策表明會收集用戶的通訊錄、信用卡資料及定位訊息等,更會作廣告推廣之用[21],但用戶通常急不及待便按下「同意」,使私隱中門大開。

是否「赤裸」於人前 終究由你決定

正如前文提出, Twitter用戶只要一日發文八次,陌生人已有足夠資訊推測其住址、上班地點及上班路線。這些資訊除了滿足人們的八卦心理,更極端的結果,可以是為賊人提供犯案的「時間表」。賊人只要窺伺目標人物離家上班,即可入屋爆竊。

在現今社會,與網絡世界「絕交」是斬腳趾避沙蟲,我們除了倚賴防毒軟件以至執法機構的把關,或者期待有高科技產品保護我們的個人資料,最重要的還是在提供個人資料時提高警覺,了解自己在不知情下公開了多少個人資料,資料使用者又有否過度收集資料等。我們是否有必要長期向社交網站供出自己所在位置,並在貼文公告天下?你確定容許陌生人透過你在Facebook設定為「公開」的個人頭像、狀態更新和照片,窺探你原本只想與朋友分享的生活嗎?倘若網站只想確定你符合使用網站的年齡限制,為何要你提供出生年月日?隨意「放料」是一念之間,後果卻是由自己包攬。

1 〈英藝術家展港IP Cam截圖 部分家居照「見樣」 私隱專員去函促停〉,《明報》,2016年8月17日,A12頁。
2 Larry Hardesty, “We know where you live,” MIT News, May 17, 2016, http://news.mit.edu/2016/twitter-location-data-homes-workplaces-0517.
3 Acquisti, Alessandro; Gross, Ralph; and Stutzman, Fred (2014) "Face Recognition and Privacy in the Age of Augmented Reality," Journal of Privacy and Confidentiality: Vol. 6: Iss. 2, Article 1, p.1.
4 同3,第7至8頁。
5 同3,第9頁。
6 同3,第10頁。
7 同3,第11頁。
8 Baert, Stijn, “Do They Find You on Facebook? Facebook Profile Picture and Hiring Chances,” IZA Discussion Paper No. 9584., pp.19-20.
9 資料使用者,泛指使用某個人資料系統的資料使用者;資料當事人,即屬該資料的當事人的個人。資料來源:香港法例第486章《個人資料(私隱)條例》,版本日期:2013年4月25日,http://www.legislation.gov.hk/blis_pdf.nsf/6799165D2FEE3FA94825755E0033E532/72DB9005F1984504482575EF000EBA7F/$FILE/CAP_486_c_b5.pdf
10 “Data protection reform - Parliament approves new rules fit for the digital era,” European Parliament, http://www.europarl.europa.eu/news/en/news-room/20160407IPR21776/Data-protection-reform-Parliament-approves-new-rules-fit-for-the-digital-era, last accessed April 14, 2016.
11 “European privacy requests for search removals,” Google, https://www.google.com/transparencyreport/removals/europeprivacy/?hl=en-GB, last modified August 15, 2016.
12 同12。
13 de Montjoye Y-A, Shmueli E, Wang SS, Pentland AS (2014) openPDS: Protecting the Privacy of Metadata through SafeAnswers. PLoS ONE 9(7): e98790, doi:10.1371/journal.pone.0098790, p.1.
14 「私隱投訴創新高 保障和尊重個人資料越見需要」。取自個人資料私隱專員公署網站:https://www.pcpd.org.hk/tc_chi/news_events/media_statements/press_20160126a.html,最後更新日期2016年1月26日。
15 「互聯網的『被遺忘權』」。取自個人資料私隱專員公署網站:https://www.pcpd.org.hk/tc_chi/about_pcpd/commissioners_message/blog_26062014.html,最後更新日期2014年6月26日。
16 「擱置在香港引入『被遺忘權』!」。取自Change.org網站:https://www.change.org/p/個人資料私隱專員蔣任宏-擱置在香港引入-被遺忘權,查詢日期2016年6月28日。
17 同14。
18 「2014年智能手機應用程式抽查報告:私隱政策透明度」,個人資料私隱專員公署,2014年12月,第7頁。
19 同18,第10頁。
20 佘錦洪,〈熱門20 Apps 讀條款須12小時 內容冗長 用家未細閱或洩私隱〉,《蘋果日報》,2016年5月29日,A07頁。
21 同20。