文/钱伟伦

日前有报道，手机通讯软件WhatsApp一度被黑客入侵。黑客利用软件漏洞，在用户完全不知情的情况下入侵手机，进行监控及套取个人资料 。现时仍未确定黑客身份及有多少用户受影响。虽然WhatsApp 已经呼吁用户即时更新软件堵塞漏洞，但WhatsApp全球有超过15亿用户，今次事件已使用户人心惶惶，并引发大众更关注流动应用程式是否能妥善保护个人资料及私隐的问题。

不同地方都有保护数据、保障个人私隐的法例，包括香港的《个人资料(私隐)条例》（保障资料第4(1)原则）、欧盟的《通用数据保障条例》（第5(1)(f)条），及中国内地的《网络安全法》（第76(5)条），法例都有要求资料使用者或网络营运者要采取措施，保障个人资料不会未经授权或意外地被查阅、删除、破坏或使用。

然而，现在很多程式开发商，每天都在设计、开发及推出不同的流动应用程式，而适用的流动装置（包括手机或平板电脑）所储存的资料，若只是待发生私隐泄露事件后才采取补救，做法实不理想，亦会打击用家的信心。

资讯科技急速发展，流动应用程式带来无限商机，但亦给保障个人私隐和保护数据带来挑战。程式开发商应摒弃只达至最低监管要求的做法，而应遵守更高的道德标准，更好地保障用家的利益。

因此，即使法例没有特别规定，程式开发商也应考虑采取更有效方法保障私隐。

1、采取“保障私隐、全面贯彻”的理念，从设计开始便引入保障私隐的理念，应主动保障，而非被动补救。保障个人资料，应涵盖从收集以至删除个人资料的整个流程。

2、开发程式的初期，应系统评估程式对个人资料、私隐的影响，尽早降低风险及任何不利影响。

3、严格遵守保障资料原则：

i. 程式收集、传输个人资料必须以合法、公平及透明的方式进行，用家应获告知收集资料的目的、可能转移给什么人、以及要求查阅及改正资料的权利。

ii. 要确保所持有个人资料的准确，保存的个人资料不应超过被使用的目的，以及所需要的时间。在收到用家要求停用或终止账户后，除非基于法律或监管原因，否则开发商应彻底移除账户资料，包括已上载或分享的资料。

iii. 除非得到用家的明确同意，否则个人资料不可用于其他用途。

iv. 必须采取合理及切实可行的步骤，保障所收集的资料不能在未经授权下被查阅、处理、删除或使用。例如流动应用程式传输的资讯应受到加密保护，以防被截取；储存于伺服器的资讯，应以存取监控及加密方式保护，以免受到未经准许的查阅。

v. 应提供有关程式的个人资料私隐政策，例如拟备私隐政策声明，列明其在个人资料私隐保障的政策及实务。

vi. 资料当事人有权要求资料使用者确定是否持有其个人资料，及要求索取所持有个人资料的复件。资料当事人亦有权要求改正有关资料。因此，程式开发商应在流动应用程式中提供联络资料，让程式使用者可以就查阅及改正个人资料提出要求。

透过上述做法，可以更好地保护流动应用程式用家的个人资料，提升程式开发商的商誉，增强持份者（包括投资者）的信心 。

（本文作者系中律协委员、法律硕士、国际私隐专业人士协会认可信息私隐专家）

来源：文汇网