港人近年不但愛透過手機購物,更愛以支付應用程式找數,但隨時引發私隱危機。有報道指五款由內地公司開發的熱門網絡支付應用程式,包括WeChat、淘寶、淘寶全球、支付寶錢包及天貓,除可識別用戶身份、記錄活動及位置定位等敏感資料,更可把相關資料隨時傳送到內地的伺服器。有電腦專家指,相關敏感資料被收集後,用戶在手機的一舉一動,都可能被追蹤、監視或監聽。
傳真社早前使用靜態程式分析,發現安裝上述五個支付應用程式,即可讀取多項敏感資料,包括「用戶國際移動設備識別碼」(IMEI)、「國際移動用戶識別碼」(IMSI)、SIM卡編碼(ICCID)、電話號碼、通話狀態及對方電話號碼等,亦可取得管理或使用指紋、存取位置及錄音權限。
該社利用動態程式作進一步分析,結果顯示,五款支付應用程式已將用戶的IMEI,記錄在有關應用程式的檔案內,隨時可被傳送到內地的伺服器。相反,該社同時測試另外三個網上交易應用程式,包括Android Pay、Google Wallet及八達通,顯示均未有存取IMEI、IMSI等敏感資料。
該社引述中文大學信息工程學系助理教授張克環表示,IMEI、IMSI等都是非常敏感的資料,可取得手機定位資料,如能介入信號系統,實際上可以跟目標通電話,如洩露ICCID,用戶在手機中的一舉一動,都可能被追蹤、監視或監聽,其實非常危險。
理工大學電子計算學系副教授陳志輝向本報表示,不評論內地支付應用程式的保安問題,但指手機好比電腦,支付應用程式跟電腦程式無異,敏感資料確有機會外洩,由於外國如美國較着重私隱,故程式有很多限制,無法讀取太多資料作其他用途。
他又指,除支付應用程式,其他手機應用程式或設有全球定位系統的電子儀器,亦有機會洩露所在位置、遭掌握每日生活模式,若流入不法之徒手中,後果不堪設想,市民應衡量再決定是否下載或使用。
阿里巴巴集團就淘寶、淘寶全球及天貓回覆傳真社指出,對訊息的收集、儲存和使用均遵守適用法規,高度重視用戶訊息保護;螞蟻金服就支付寶錢包表示,獲用戶授權後收集IMEI、IMSI數據,是保障用戶的帳戶安全。
本港個人資料私隱專員公署表示,《個人資料(私隱)條例》並無域外法律效力,該署不會評論個別國家或司法管轄區的法例或規定。