【採訪手記】當陌生人能夠說出你的名字⋯⋯

傳真社周日(11月20日)報道三款「號碼攔截」手機應用程式CM Security、Truecaller及Sync.ME,收集和公開全球逾30億個聯絡資料供用戶搜查,當中涵蓋政商界、演藝界和普通市民的個人身份以至社交帳戶資料。

社會

「你是不是X公司的Stella?」Stella(化名)很驚訝,一個素未謀面的的士司機,竟能隨口說出她的名字和工作機構。這件真人真事引起了傳真社記者的好奇,調查後發現背後涉及廣泛的公眾利益。超過30億個聯絡資料原來早儲存在公開資料庫內,在當事人不知情下被查閱。

傳真社周日(11月20日)報道三款「號碼攔截」手機應用程式CM Security、Truecaller及Sync.ME,收集和公開全球逾30億個聯絡資料供用戶搜查,當中涵蓋政商界、演藝界和普通市民的個人身份以至社交帳戶資料。個人資料私隱專員公署連續兩晚發聲明,表示密切注意事態發展,並已聯絡內地、瑞典和以色列的個人資料保障執法機關跟進事件。是次報道引起本地和海外媒體關注,證明手機應用程式如何使用從用戶收集所得的大量個人資料,是大眾關注的議題。

CM Security多次修改聲明內容

CM Security的開發商獵豹移動今日(11月22日)與受邀的香港傳媒作閉門午宴,獵豹移動高層在席上回應事件時,雖然重申有關功能不涉及漏洞,但仍然會永久關閉電話反查功能,並增設刪除個人資訊的途徑。CM Security 於同日下午6時發放的最新一份聲明中,中英文版本內容並不一致,聲明的英文版本稱「CM Security will temporarily shut down the ”reverse look-up” function(CM Security將暫時關閉電話反查功能)」,同時發佈的中文版聲明卻是「第一時間停止了反查功能並不會重新開啟」。

早在報道發佈前四日,傳真社多次聯絡涉事公司,查詢其資料庫來源、儲存用戶個人資料(尤其是香港用戶)伺服器的所在地、過去有否因任何政府機關要求而提供港人資料、刪除用戶個人資料的途徑等。當中只有Sync.ME行政總裁曾以書面回覆;獵豹移動在報道發佈前的書面回覆僅為「金山軟件及獵豹移動即將公佈季度財報,目前為緘默期,暫時不做任何形式的新聞發佈」,沒有提供任何刪除個人資料的方法。

英國廣播公司BBC World 採用傳真社報道

 

報道發佈後廣受外界關注,CM Security於周日起關閉部分號碼反查功能。獵豹移動其後於周一及周二至少三度修改已發佈的聲明,回應傳媒報道。第一份聲明於周一(11月21日)中午發出,表示「對於暫時關閉查詢聯絡人功能後,將造成部分用戶不便,本公司深感抱歉」;同日晚上,公司兩度更新聲明指「有心人士在已知政要 / 相關人士 號碼的情況下竟然將該號碼反查證實其真實身分,以證明CM Security洩露別人隱私,此說法顯然有失偏頗」。

傳真社不揣測獵豹移動所提及的「有心人士」是否指一眾跟進事件的本地和海外傳媒,但作為最先揭露事件的新聞通訊社,傳真社秉持公眾利益與知情權為原則,如實報道。是次調查由一位市民的舉報而展開,該名市民發現其個人資料在不知情下,被上載至CM Security供所有用戶查閱,深感不安,希望傳真社調查事件。記者經測試後證實,獵豹移動透過旗下手機通訊程式WhatsCall收集用戶手機通訊錄,作為CM Security號碼反查功能的其中一個資料來源。

傳真社經過廣泛資料搜集和測試,發現市場上另有功能相似的手機應用程式,涉及地域更闊、收集資料範圍更廣,統計後涉及全球30億個聯絡資料,反映事件具普遍性和重要性。

記者詳閱涉事手機應用程式的私隱政策和使用條款,在報道發佈前多次向本地執法機構和熟悉相關條例的法律顧問徵詢法律意見,了解個人資料的定義和現行法例的規管範疇。

過程中發現,這些公司收集手機用戶通訊錄的資料時,在條款列明用戶「須得到資料當事人同意後,才將當事人的資料披露及轉移」。此舉無形中將責任轉移至用戶身上,以致一般很少會去詳細閱讀條款的用戶,在不知情下授權將朋友(資料當事人)的資料提供予應用程式,因而可能違反《個人資料(私隱)條例》第三原則,傳真社因此在報道中清楚列明相關條款和法律風險。

電話號碼屬個人私隱

對於有質疑指「用戶在擁有對方的手提電話號碼後,透過『反查』證實其身份,其實沒有洩漏電話號碼持有者的身份」,根據《個人資料(私隱)條例》,個人資料的定義:(1)是關乎一名在世人士,並可識別該人士身份的資料;(2)資料存在的形式令資料可讓人切實可行地查閱或處理 。個人的姓名、電話號碼、地址、身份證號碼、相片、病歷和受僱紀錄等都是條例保護的個人資料。

事實上,傳真社在測試這些對公眾免費開放的手機應用程式過程中,發現僅僅藉著一個電話號碼,已可查出資料當事人的姓名、暱稱、所在國家/地區,甚至工作、社交網絡或電郵帳戶等資料,即使資料當事人從未同意上載並公開有關資料。如此情況下,不能排除不法之徒透過電腦程式和技術大量收集相關資料,進行詐騙。

再者,不少市民都會將手提電話號碼與社交網絡、電郵、銀行以及信用卡帳戶連結,方便進行SMS驗證,黑客和騙徒或可透過相關資料盜取密碼、讀取訊息或通話紀錄,作其他非法活動。

三款應用程式在應用程式商店的下載次數超過兩億次,共涉及30億個聯絡資料,構成潛在的保安風險,絕對與公眾利益息息相關。傳真社認為,無論被搜尋到的資料當事人是普羅市民,還是政商名人,同樣值得重視。

“Journalism is printing what someone else does not want printed; everything else is public relations.” – George Orwell

相關報道