目錄 A.
行政摘要.............................................................................................................................. 1
B.
評分準則.............................................................................................................................. 2
C.
調查結果一覽....................................................................................................................... 4
D.
個別網上服務供應商 (OSP) 調查結果 .................................................................................. 5
BABY KINGDOM 親子王國.......................................................................................................................... 5 DISCUSS.COM.HK 香港討論區.................................................................................................................... 6 HKEPC 電腦領域..................................................................................................................................... 7 HKGALDEN 膠登討論區............................................................................................................................ 8 HKGOLDEN 香港高登討論區 ................................................................................................................... 9 HK IN-MEDIA 香港獨立媒體 ..................................................................................................................10 MEMEHK 謎米香港.................................................................................................................................11 MY SINA BLOG 新浪香港.........................................................................................................................12 UWANTS ..................................................................................................................................................13 E.
總結 ................................................................................................................................... 14
特別聲明................................................................................................................................... 14 特別鳴謝................................................................................................................................... 14
鍵盤戰線 「邊個撐你?」 香港首份有關網上服務供應商 的 私隱及資料披露調查報告 2015 年 9 月
A. 行政摘要 1.
這是香港首份有關網上服務供應商資訊透明度及對用戶個人資料私隱尊重程度 的調查報告。
2.
香港在網絡資訊透明度這個範疇上仍處於起步階段。佔領運動期間,政府多番 利用極具爭議性的刑事法例(例如《有犯罪或不誠實意圖而取用電腦》)來拘 捕網上論壇用戶,惹來箝制網絡自由、政治打壓的批評;同時亦令人反思網上 管理、用戶私隱及言論自由等議題。有見及此,鍵盤戰線聯同《香港資訊公開 報告》,及資訊科技界立法會議員莫乃光屬下的政策研究小組,首次展開名為 「邊個撐你?」的統計調查。我們挑選了 9 個本地網上服務供應商 (OSP),當 中有 6 個大受歡迎的網上論壇、2 個網上新聞平台及 1 個博客平台。
3.
相信絕大部份的香港人近年都不斷受到非應邀電子訊息(例如推銷電話),以 至電話騙案的滋擾,此等情況每每使人關注商業機構如何取得我們的個人資 料。私人機構尚且受法例規管,但政府在市民不知情的情況下資料蒐集的情況 又如何?香港政府聲稱根據本地及國際的法律與標準索取網民資料(例如 IP 地 址),能夠有效防止罪案發生及保障市民安全。從 2014 年 10 月 1 日 到 2015 年 1 月 29 日為止,警方一共處理 2,431 宗科技罪案,以及向互聯網服務供應商 及網上平台要求索取 1,156 名用戶資料。然而,不論政府還是服務供應商,均 未能釋除公眾日益增加的疑慮,例如政府的相關要求是否合法,或者服務供應 商在回應政府要求時是否以負責任的態度回應。我們認為政府索取資料的過程 缺乏透明度,應加以改善。
4.
環顧全球各地的發展,不少服務供應商均主動並定期公布資料公開報告,以確 保用戶獲得充份保障,但香港在這方面仍然顯著落後。政府大舉監控,加上信
第 1 頁;共 14 頁
息濫用,種種跡象都對網民的知情權及言論自由造成寒蟬效應,令香港距離我 們心目中的自由港變得越來越遠。 這次「邊個撐你?」調查旨在協助網民對於其網上資料如何被本地論壇蒐集及
5.
運用的情況加深認識,以提高網民保障自己私隱的意識,並促進本地互聯網社 群的良好習慣;建立一個資訊公開的標準,最終達至企業問責以及加強用戶私 隱的保障。
主要調查結果包括:
6. a.
三分一網上服務供應商強制用戶透過流動電話號碼或者互聯網服務供應商 (ISP) 提供的電郵地址認證身份方能註冊。這個做法加強了網上服務供應商 自我審查與政府當局監控,亦變相達到實名化的效果;
b.
三分二網上服務供應商有在網頁上張貼私隱政策聲明及提供專門渠道處理有 關私隱查詢;
c.
即使九個接受調查的網上服務供應商中,只有四個清楚表示在獲得法庭命令 下方會答允政府索取資料的要求;
d.
但是,他們都沒有清晰的法律指引如何應付政府的資料要求。他們沒有指出 面對當局資料要求,法庭命令或搜令是否必須。他們也沒有解釋他們如何拒 絕不合理的資料要求;
e.
所有接受調查的網上服務供應商,都沒有發表資料公開報告,讓用戶得悉政 府要求的相關服從比率,以及受到影響的用戶人數。只有一家網上服務供應 商有披露收到政府索取資料要求的次數。
B. 評分準則 我們以五項條件作為評審本地網上服務供應商的準則:
7. a.
要求最少個人資料作註冊:要得到正評,網上服務供應商不可蒐集多於所需 要的資料。強制要求 ISP 電郵、電話號碼或詳細的個人資料都視為蒐集多於 必須用作註冊的資料。
b.
發表私隱政策聲明:我們會檢視網上服務供應商有否發表個人資料蒐集聲明 或私隱政策聲明。 第 2 頁;共 14 頁
c.
提供私隱投訴渠道:如網上服務供應商有提供指定渠道作聯絡有關用戶的私 隱查詢,則可得到正評。
d.
發表詳細第三者索取資料指引:要獲取正評,網上服務供應商不單要列明怎 樣處理資料要求,也須要闡明如何拒絕要求。特別是,網上服務供應商有否 主動查問有關要求的目的及限制要求資料的範圍,以確保第三者不能取得多 於所需的資料。
e.
發表資料公開報告:如網上服務供應商有公開政府機構索取資料的數字就可 獲得正評。
8.
調查報告內容僅作參考,或未能反映完整情況。獲得「正評」,表示該網上服 務供應商已公開披露相關政策,或者向調查小組透露該網上服務供應商存在著 相關政策;沒有正評的,不一定意味著該網上服務供應商並沒達到調查小組初 步定下的標準,但可能表示他們不公開透露相關的政策,或者沒有向調查小組 提供有關政策的實施情況。
第 3 頁;共 14 頁
C. 調查結果一覽
第 4 頁;共 14 頁
D. 個別網上服務供應商 (OSP) 調查結果 Baby kingdom 親子王國
要求最少個人資料作註冊: 要註冊成為會員,網民須提供姓氏、名字、出生日期、婚姻狀況、生育計劃、 孩子數目及家庭年度總收入,以至需要提供手提電話號碼作認證。因此,不能 於此項給予正評。 http://www.baby-kingdom.com/member.php?mod=abbott_register
發表私隱政策聲明: 私隱政策載於此網址:http://www.baby-kingdom.com/privacy.php。正評!
提供私隱投訴渠道: 提供電郵聯絡方法詢問有關私隱問題。正評!
發表詳細第三者索取資料指引: 於網站的私隱政策聲明中指資料會根據法律披露。但沒有指明是否在法庭命令 下才披露,亦沒有解釋如何限制過多的資料披露。因此,沒有正評。
發表資料公開報告: 沒有資料公開報告,也沒有披露政府要求資料的數字。因此,不能獲得正評。
第 5 頁;共 14 頁
Discuss.com.hk 香港討論區
要求最少個人資料作註冊: 要註冊成為會員,網民須填寫用戶名稱、電郵、密碼及如何得悉該討論區。而 此等資料能夠用作確定會員身份的可能性較低,因此,此項目可獲正評。 http://www.discuss.com.hk/register.php
發表私隱政策聲明: 私隱政策載於此網址: http://www.discuss.com.hk/announcement.php?id=74#74。正評!
提供私隱投訴渠道: 就私隱查詢,不單提供電郵,更有地址及電話。正評!
發表詳細第三者索取資料指引: 縱使私隱政策清楚列明有傳票、法庭傳令、或法律程序、或為回應、制定或行 使法定權利或對索償作出辯護時及收到有關方面按個人資料(私隱)條例第 58 條 下提出的要求時披露資料。但沒有列明會否查問要求者的目的及範圍。因此未 能在此項目取得正評。
發表資料公開報告: 沒有資料公開報告,也沒有披露政府要求資料的數字。因此,不能獲得正評。
第 6 頁;共 14 頁
HKEPC 電腦領域
要求最少個人資料作註冊: 只要戶口名字、電郵、密碼。因此,此項目可獲正評。
發表私隱政策聲明: 私隱政策於 http://www.hkepc.com/privacy 發表。因此,此項中可獲正評。用戶 可向該公司索取一份有關該公司保存用戶的資料,收費為港幣 100 元。
提供私隱投訴渠道: 提供電郵作私隱查詢。正評!
發表詳細第三者索取資料指引: 網上服務供應商保留權利披露用戶資料,但沒有交代是否在法庭命令下才會披 露。沒有正評。
發表資料公開報告: 沒有資料公開報告,也沒有披露政府要求資料的數字。因此,不能獲得正評。
第 7 頁;共 14 頁
HKGalden 膠登討論區
要求最少個人資料作註冊: 要求用戶以 ISP 或專上學院電郵登記。同時,要求提供用戶的出生日期、性 別、姓氏及名字、聯絡電話等、作登記。因此,沒有正評。 https://hkgalden.com/member/register_account
發表私隱政策聲明: 沒有發表私隱政策聲明。因此,沒有正評。
提供私隱投訴渠道: 沒有提供私隱投訴渠道。因此,沒有正評。
發表詳細第三者索取資料指引: 沒有公開如何處理第三者索取資料。因此,沒有正評。
發表資料公開報告: 沒有資料公開報告,也沒有披露政府要求資料的數字。因此,不獲正評。
第 8 頁;共 14 頁
HKGolden 香港高登討論區
要求最少個人資料作註冊: 用戶須提供多項資料作登記:名字、花名、性別、 ISP 或專上學院電郵、備用 電郵、出生年份、國家、家庭電話、手提電話、婚姻狀況、教育程度、工作性 質、平均月入、興趣、平均每月花在電子產品上的消費。我們認為此例屬蒐集 過多資料,不能給予正評。 http://www.hkgolden.com/members/join2015.aspx?type=0
發表私隱政策聲明: 私隱政策聲明在此發表:http://forum1.hkgolden.com/privacy.aspx。正評。
提供私隱投訴渠道: 提供電郵作私隱查詢。正評。
發表詳細第三者索取資料指引: 有指明會在執法機關或政府機構要求下會根據法律披露用戶資料。但沒有解釋 有關要求是否需要有法庭命令或搜令,又或是否會沒有法庭命令下就會提供用 戶資料。故此,不獲正評。
發表資料公開報告: 沒有資料公開報告,也沒有披露政府要求資料的數字。因此,不能獲得正評。
第 9 頁;共 14 頁
HK In-Media 香港獨立媒體
要求最少個人資料作註冊: 只要求用戶以電郵及用戶稱號作登記。故此,正評一個。 http://www.inmediahk.net/user/register
發表私隱政策聲明: 沒有發表私隱政策聲明。沒有正評。
提供私隱投訴渠道: 沒有私隱投訴渠道,不獲正評。
發表詳細第三者索取資料指引: 沒有指引如何處理第三者資料要求,不獲正評。
發表資料公開報告: 沒有資料公開報告,也沒有披露政府要求資料的數字。因此不能獲得正評。
第 10 頁;共 14 頁
Memehk 謎米香港
要求最少個人資料作註冊: 只要求用戶以用戶名稱、密碼及電郵作登記,正評一個。 http://forum.memehk.com/member.php?mod=register
發表私隱政策聲明: 有發表私隱政策聲明,正評一個。http://news.memehk.com/privacy
提供私隱投訴渠道: 有提供電郵地址處理有關私隱查詢。故獲正評。
發表詳細第三者索取資料指引: 私隱政策聲明指只會遵從法庭命令處理資料要求及要求解釋目的及沒有所要求 的資料如何影響當局有關調查。故獲正評。
發表資料公開報告: 沒有資料公開報告,但有披露政府要求資料的數字。因此,獲得正評。
第 11 頁;共 14 頁
My Sina Blog 新浪香港
要求最少個人資料作註冊: 除名字、性別及電郵外,用戶須提供出生日期、教育程度、工作、職位及平均 月入作註冊。故此,不能給予正評。 https://login.sina.com.hk/cgi-bin/register.cgi
發表私隱政策聲明: 於 http://cs.sina.com.hk/faq/sinahelp30.html. 發表私隱政策聲明。正評一個。
提供私隱投訴渠道: 以專頁方式處理有關私隱查詢,正評一個。 http://cs.sina.com.hk/faq/sinahelp707.html
發表詳細第三者索取資料指引: 沒有闡明是否在法庭命令下才披露資料發沒有提及如何處理當局的資料要求。 只指出如有關要求是用作防止或調查罪行及在個人資料(私隱)條例下容許的 情況下會披露用戶資料。故不獲正評。
發表資料公開報告: 沒有資料公開報告,也沒有披露政府要求資料的數字。因此,不能獲得正評。
第 12 頁;共 14 頁
Uwants
要求最少個人資料作註冊: 要註冊成為會員,網民須填寫戶口名字、電郵及密碼。因此,此項中可獲正 評。 http://www.uwants.com/register.php
發表私隱政策聲明: 私隱政策於此網址: http://www.uwants.com/announcement.php?id=127#127。 正評!
提供私隱投訴渠道: 就私隱查詢,不單提供電郵,更有地址及電話。正評!
發表詳細第三者索取資料指引: 私隱政策清楚列明有傳票、法庭傳令、或法律程序、或為回應、制定或行使法 定權利或對索償作出辯護時及收到有關方面按個人資料(私隱)條例第 58 條 下提出的要求時披露資料。但沒有列明會否查問要求者的目的及範圍。因此, 不獲正評。
發表資料公開報告: 沒有資料公開報告,也沒有披露政府要求資料的數字。因此,不能獲得正評。
第 13 頁;共 14 頁
E. 總結 9.
總括而言,我們發現本地網上服務供應商在保護用戶個人資料及處理用戶資料 的透明度仍有很大空間可改善。事實上,具透明度的管理能夠有效加強公司問 責性用戶的信心。以外國公司為例,就有 47 間外國互聯網及電訊公司已經發 表資料公開報告,當中 7 間更透露曾經接到來自香港政府當局索取資料的要 求。隨著這些大型企業引領前路,現在是時候由本地企業開始參與撰寫資料公 開報告,以及告知用戶他們的網上資料將被如何處理。
10.
要將網上服務供應商對於政府索取資料要求的披露手法,和有關當局的相關監 控行動合法化及標準化,需要時間及有賴各方利益相關者的努力。我們歡迎任 何對於這個試驗計劃的意見和建議,並鼓勵其他網絡供應商參與這個調查。
特別聲明 由於這次調查試圖探討前衛議題,某些標準未必能夠完全適用於部分網上服務供 應商,加上某些相關問題亦在立法會及本地法院處理中。本次調查不應被理解為意在 損害調查的網上服務供應商。
特別鳴謝 鍵盤戰線特此鳴謝《香港資訊公開報告》,及資訊科技界立法會議員莫乃光屬下 的政策研究小組的大力支持,與及各網上服務供應商的合作和積極回應。這次調查靈 感來自電子前線基金會 (Electronic Frontier Foundation, EFF) 的《誰在挺你》(“Who Has Your Back”) 報告。
鍵盤戰線 Keyboard Frontline 2015 年 9 月 13 日
第 14 頁;共 14 頁