記者:陳欣彤
[ 第四屆恒基温暖工程基金傳播獎學金「最佳解釋性報道」優異作品。發表時記者更新了報道部分內容。]
港人熱愛網上購物,疫情下網上購物更為普及,不少市民更會到不同網購平台「格價」,惟以訪客身分瀏覽網頁時,各平台已默默收集其資料,大多均無明確以彈窗提醒或讓瀏覽者直接選擇「不同意」。有資訊科技專家認為,本港網站處理Cookies(小型文字檔案)做法不理想,負責任的網站應加設使用Cookies的提示,但因本港現時無明確定義哪些資料屬「可識辨身分」(identifiable),令網上追蹤行為不受《個人資料(私隱)條例》規管,促請政府盡快修例。
13間平台收集訪客IP地址
記者在今年5月下旬查看13間港人較常用、銷售各類型產品的綜合型網上購物平台,包括「亞馬遜Amazon」、「big big shop」、「卓悅」、「Gmarket」、「HKTVmall」、「萬寧」、「百佳」、「莎莎」、「淘寶/天貓」、「屈臣氏」、「惠康」、「Yata eshop」及「士多」,了解以訪客身分瀏覽網頁,未登入或登記成為平台用戶前,各平台會收集訪客哪些資料。
資料大致分為4類:(1)裝置資訊;(2)網站內瀏覽、點擊、搜尋紀錄;(3)購物及內容使用歷史紀錄;(4)瀏覽平台網站前曾到訪的網頁。同時了解網購平台有否在其私隱條款,提及瀏覽網頁毋須提供任何個人資料。
經查閱13個網購平台的私隱條款後發現,僅「卓悅」、「惠康」、「士多」3個平台沒有收集以上歸類的4項資料。而收集非登記用戶瀏覽網頁資料的10間網購平台,全都有收集裝置資訊與網站內瀏覽、點擊、搜尋紀錄;購物及內容使用歷史紀錄則得7間收集。「萬寧」、「百佳」、「莎莎」、「屈臣氏」、「Yata eshop」更有收集瀏覽平台網站前曾到訪的網頁資料。(見表一)
對於收集的資料會否涉及個人資料,「卓悅」和「士多」列明瀏覽網頁者不用提供任何個人資料,同樣作此聲明的,亦有「big big shop」、「HKTVmall」及「Yata eshop」。其餘平台則未有提及。(見表二)
網購平台交代Cookies政策懸殊
機構經營網站時,經常會收集用戶在其網站活動的資訊,收集目的各有不同,但總會包括追蹤網上用戶的行為及偏好,從而進行推銷工作,Cookies正是網上追蹤的常用工具。Cookies是由網站傳送至裝置瀏覽器並儲存於該裝置內的細小檔案。
現時幾乎每個網站都使用Cookies進行網上追蹤用戶行為。翻查是次調查的13間網購平台,各平台的私隱條款都有提及,若用戶瀏覽網站,代表同意該機構的Cookies政策,但只有「big big shop」及「莎莎」在訪客進入網站時有明確提示。以「big big shop」為例,甫打開網站,頂部可見「本服務正使用Cookies」的通知,並讓訪客點擊「同意」,同時在旁附上「詳情按此」按鈕,讓訪客能即時了解Cookies 政策。(見表二)
比較各間網購平台提及有關Cookies政策的篇幅,全部平台都有提及,透過Cookies收集資料的類型與目的。而進一步提及牽涉的Cookies類別,例如Google Analytics、Session Cookies 等,僅「big big shop」、「卓悅」、「莎莎」、「Yata eshop」主動提供,而「big big shop」與「莎莎」更詳列分類,告知用戶哪些屬運作必須、具功能、目標的Cookies 等。(見表二)
機構提醒用戶可清除Cookies這方面,只得「Yata eshop」沒有作出提醒,其他網購平台均有提醒可除,當中8間平台更有提供清除Cookies的方法,包括附上某特定Cookies的專屬連結,或教導如何在瀏覽器設定更改選擇。(見表二)
至於更改Cookies設定會否妨礙網頁功能,除「卓悅」與「Yata eshop」沒有提及外,其他均有列明更改設定後,哪部分的網頁功能會受礙。「淘寶/天貓」指或會影響訪客安全訪問其網站;「Amazon」、「big big shop」、「Gmarket」、「HKTVmall」、「萬寧」、「莎莎」、「士多」則指,網頁部分功能和服務或無法工作,或訪客無法使用部分功能;而「百佳」、「屈臣氏」、「惠康」指出,不允許Cookies 或令「閣下無法登入本網站的所有部分」。(見表二)
綜合而言,「big big shop」與「莎莎」在交代Cookies政策上,較其他平台透明。
私隱條例未能完全規管網上追蹤行為
各綜合型網購平台進行網上追蹤,關鍵在於涉及收集網站用戶的資料屬於「個人資料」與否。根據本港《個人資料(私隱)條例》,需全部符合以下3個條件才屬「個人資料」:(1)直接或間接與一名在世的個人有關的;(2)從該資訊直接或間接地確定有關的個人的身分是切實可行的;(3)該資訊的存在形式令予以查閱及處理均是切實可行的。
若網購平台所收集的行為資訊屬「個人資料」,須遵從《個人資料(私隱)條例》的規定,包括有關收集、持有及使用個人資料的6項保障資料原則。根據香港個人資料私隱專員公署發布的「網上行為追蹤」單張,「即使機構不能確定其為廣告宣傳/推銷目的而收集的行為資訊是否構成『個人資料』,亦應採取公平及具透明度的行事方式,以提昇客戶對其網上活動的信任」。
IP地址不屬「個人資料」 收集未受監管
就網購平台會否收取瀏覽網頁者的個人資料,5 間平台「卓悅」、「士多」、「big big shop」、「HKTVmall」及「Yata eshop」列明瀏覽網頁者毋須提供任何個人資料,其他並無作此聲明,惟是此調查的13間平台均有收集訪客的IP地址(即互聯網規約地址)。
對於IP地址應否被納入為「個人資料」,社會爭議多年至今未有定案,而2005年發生的「師濤事件」(又稱「雅虎案」),則把焦點投射到電郵服務提供商對用戶IP資料的保護問題。事件涉及內地記者師濤,他被湖南省長沙市中級人民法院裁定觸犯為境外非法提供國家秘密罪。報道指他當時使用雅虎中國網站的電郵帳戶,而網站經營者「北京雅虎」,曾向內地國安機構披露師濤的帳戶資料。由於「北京雅虎」當時由香港雅虎控股全資擁有,因而引起公眾對保障IP地址的極度關注,更一度誤以為是香港雅虎控股把資料交給內地執法機關,私隱專員遂決定就事件展開調查。
2007年3月,私隱專員發表調查報告,指事件與香港雅虎控股無關,而IP地址「就其本身而言並不符合『個人資料』的定義」。
調查報告發表後,師濤不認同私隱專員的結論,向行政上訴委員會提出上訴。行政上訴委員會同年作出裁決,駁回師濤上訴,指出依據Cinepoly Records Co Ltd and others v Hong Kong Broadband Network Ltd and others [2006] 1 HKLRD 255案例,IP地址並非個人資料。
2009年,私隱專員公署在「就檢討《個人資料(私隱)條例》的諮詢文件提交的意見書」中指出,把IP地址視為「個人資料」並不適當,「然而,當連同其他可辨識個人身分的資料時,『個人資料』可包括IP地址」。公署又表示:「單獨的IP地址是否須被視為『個人資料』是一個很具爭議性的問題,在作出決定前,應全面及小心考慮不同社會階層的權利及利益。公署對這建議持開放態度。」而政府至今也沒有表示要就此修訂法例。
資訊科技界選委、數據科學家黃浩華接受訪問時指,公共的IP地址或未能辨認誰是用戶,而單獨的IP地址有機會能辨認身分,認為應納入規管,惟至今未有定案,歸根在於本港未定義哪些資料屬「可識辨身分」。他表示,收集點擊網站的資料是較一般的資料,但若資料牽涉「可識辨身分」者,當局須界定機構應如何收集及儲存,及列明資料對用家的影響。
黃浩華批評本港網站的私隱政策條文均十分含糊,是「很差的做法」,而且網頁通知瀏覽者正在使用Cookies是重要的。對於記者此次調查中僅「big big shop」與「莎莎」在使用者一登入網頁時,並告知正在使用Cookies並提供按「同意」的按鈕,黃認為情況不理想,負責任的網站都應加設使用Cookies的提示。他續指,雖Cookies應不會帶出十分嚴重的私隱事故,但需提醒網頁瀏覽者其資料正在被收取,加設提示的成本亦不高。
黃浩華:本港網站處理Cookies情況很差
根據歐盟《通用數據保障條例》(General Data Protection Regulation),若本港機構向歐盟人士提供貨品或服務或監察他們的行為,便需遵從該條例,須以清晰簡單的語言、容易明白及讀取的方式,並且獨立地向資料當事人徵求『同意』,以合法處理個人資料。不少港人或居港人士持有歐盟護照,黃指按道理各網購平台應獨立徵求同意,假設有持歐盟護照的瀏覽網頁者,沒有被獨立通知,企業或觸犯歐盟法例,但執法權在歐盟機關。
黃浩華續指,有些網站會詢問瀏覽用戶是否歐盟公民,然後便會懂怎樣安排。根據記者此次調查,13間網購平台中,「莎莎」的私隱政策中有提及處理歐盟顧客個人資料的基礎,亦有額外就新加坡與馬來西亞地區作特別聲明,而「big big shop」則另設歐盟版的私隱聲明,不過沒有平台在甫點擊網站便查詢瀏覽人士是否歐盟公民。另外,「Amazon」、「卓悅」、「Gmarket」、「莎莎」、「淘寶/天貓」的送貨地區有覆蓋至非香港地域。
此外,13間網購平台的私隱條款都有提及,若用戶瀏覽網站,代表同意該機構的Cookies政策,惟均沒有直接提供「不同意」按鈕。根據私隱專員公署「網上行為追蹤」單張,機構不確定是否收集個人資料時,亦應「尊重用戶提出的『不接受追蹤』選擇」,及交代拒絕追蹤後果,或無法拒絕的原因。
黃浩華認為情況同樣不理想,本港網站應參考外國網站提供選擇,保障市民知情權,即使同意使用Cookies,亦能「選擇加入/退出」,如分類必要的、功能的、提供市場學統計等。不過,黃坦言本港網站要仿效歐美的做法十分困難,除非每個網站都聘請相關專家。
記者抽選數個外國網站查看,如:提供新聞資訊的《衛報》,有提供「管理我的Cookies」的按鈕,並讓用戶選擇接受或拒絕所有,及加入/退出有不同目的的Cookies(見下圖一);售賣各類衣物的「American Eagle」,會讓訪客選擇接受所有Cookies,或只接受功能性的Cookies(見下圖二);售賣朱古力產品的「M&M」在訪客登入網站時,需選擇是否歐盟公民,而且能選擇除必須的Cookies 外是否「Active(活躍)」(見下圖三)。
條例過時促加快收緊
現時,日常生活離不開數碼產品,牽涉大量個人私隱,黃浩華認為,當局應修訂過時的《個人資料(私隱)條例》,須明確界定不同資料屬哪類型,尤其為「可識辨身分」的個人資料,使機構進行網上行為追蹤時若牽涉相關資料,須清楚交代如何收集及儲存。因現時Cookies若無收集個人資料,不須列明處理手法,包括儲存期限。黃指出,據他了解,Cookies收集的資料會隨該Cookies的期限而清除,但各公司的操作有不同。
他建議,《個人資料(私隱)條例》亦應增加設具約束力的罰款,如與公司的營業額及受害人潛在的風險掛鉤,並仿效歐盟,設定洩漏私隱事件通報機制,機構必須在事故發生後72小時內通報。他認為具約束力的條款,才能避免再次出現如國泰航空和港龍航空等機構大規模洩漏客戶個人資料的事故。
該事故於2018年發生,涉及260個國家和地區、約940萬名乘客的個人資料,包括姓名、護照號碼、身分證明號碼、電郵地址、地址和電話號碼等。私隱專員調查後指國泰沒有處理一個廣為人知的保安漏洞,因而被攻擊者入侵,並且過長地保留亞洲萬里通會員計劃申請者的身分證號碼,違反《個人資料(私隱)條例》。專員之後按法例向國泰發出改善指示。而在英國,資訊專員辦公室(Information Commissioner’s Office)則因事故向國泰罰款50萬英鎊。
根據香港個人資料私隱專員2020年4月向立法會政制事務委員會會議提交的公署2019年工作報告,公署建議修訂《個人資料(私隱)條例》的方向,其中提及「設立強制性資料外洩通報機制」、「檢討違反條例的罰則及公署的懲處權力,包括研究賦予私隱專員可向違規者處以行政罰款的權力」、「直接規管資料處理者」及「擴大條例中『個人資料』的定義,以涵蓋與『可識辨身分』的人士有關的資料」。公署稱,會繼續與政府共同研究落實修訂《個人資料(私隱)條例》的具體方案。
公署回覆查詢時表示,若資料使用者如網購平台,在其網站使用Cookies進行網上追蹤時,直接或間接收集能辨認一名在世人士的個人身分資料時,必須向資料當事人提供「收集個人資料聲明」,包括告知他有責任或是可自願提供有關資料。另外,《個人資料(私隱)條例》並無域外法律效力,若購物平台並非在香港營運,而營運商作為資料使用者,並非在香港控制個人資料的 收集、持有、處理或使用,《個人資料(私隱)條例》並不適用。