傳真社(FactWire)報道,5款由內地公司開發的熱門網絡支付應用程式,WeChat、淘寶、淘寶全球、支付寶錢包及天貓,把可識別用戶身分、活動紀錄和位置定位等敏感資料存取成檔,更可隨時傳送到內地伺服器。個人資料私隱專員公署稱,香港目前無條文禁止個人資料轉移至香港以外地方。
據傳真社報道,5款應用程式皆為中國企業開發及營運,其中WeChat由中國應用程式開發商騰訊開發;淘寶、淘寶全球及天貓由阿里巴巴集團開發;支付寶錢包由阿里巴巴關聯公司螞蟻金服營運。
傳真社記者分析發現,5個應用程式在安裝時即取得「讀取手機狀態及識別碼」權限,即應用程式可以隨時存取用戶國際移動設備識別碼(IMEI)、國際移動用戶識別碼(IMSI)、SIM卡編碼(ICCID)、電話號碼、通話狀態、通話對方電話號碼等敏感資料,而應用程式安裝後首次運行時,即使用戶未有進行支付交易,亦已將用戶的IMEI記錄在有關應用程式檔案內,隨時可被傳送到內地伺服器。是次只分析了Android系統,未有分析蘋果手機系統。
傳真社又以惡意軟件分析服務VirusTotal檢查,發現支付寶錢包安裝檔含有一款木馬程式Android Trojan SMS Spy,會攔截並盜取用戶SMS短訊;淘寶則有一個後門惡意軟件backdoor.androidos.ginmaster,會在用戶不知情下,打開手機系統後門,盜取任何資訊。
阿里巴巴集團就淘寶、淘寶全球及天貓運作回覆稱,收集、儲存和使用信息均遵守適用法規,高度重視用戶信息保護,又指收集IMEI、IMSI、手機號碼和SIM卡信息,「是安全保障的一個重要程序,用於用戶身分驗證、交易和支付安全、反詐騙等內部安全措施」,另強調淘寶應用程式不存在「後門程序」。
螞蟻金服就支付寶錢包回覆說,得到用戶授權後收集IMEI、IMSI數據,是為了更好保障用戶帳戶安全。WeChat則未有回覆查詢。
電腦保安及黑客技術專家賴灼東對傳真社表示,單一應用程式未必會泄漏一個人在網絡上的所有資料,但從科技層面看,政府只要將所有數據組合起來,然後分析出每個人行為模式,就可達至監控。
個人資料私隱專員公署稱,香港《個人資料(私隱)條例》無域外法律效力,該署亦不會評論個別國家或司法管轄區法例或規定。至於現行條例能否保障香港人個人資料不會被傳送至內地伺服器,公署說,《條例》第33條禁止個人資料轉移至香港以外地方的條文尚未生效。
IMEI(International Mobile Equipment Identity)是每部手機獨特編碼,如同「手機身分證」,包含廠牌、型號、產地及生產序號等資料;IMSI(International Mobile Subscriber Identity)是電訊商為裝置所編的號碼,以界定有關裝置使用電訊商服務的權限,通常儲存於SIM卡中;ICCID(Integrated Circuit Card Identifier)則為每張SIM卡獨有的識別碼。
(傳真社)
相關字詞﹕編輯推介