【消委會】「CallApp」可自動上載聯絡人資料 陌生人或透過號碼睇住址
撰文: 黃穎津
發布時間: 2024/05/16 10:09
最後更新: 2024/05/16 10:59
不少人每天都會收到不下數個推銷或詐騙電話,故會選擇下載攔截垃圾電話的手機應用程式。然而,若消費者沒有仔細閱讀條款及謹慎選擇,隨時令自己甚至連身邊親友的個人資料亦會在不知情下被公開。消委會發現「CallApp」和「Truecaller」在取得存取權限後,可令用戶的個人資料被一覽無遺。
消委會檢視本港使用量較多的5款垃圾電話攔截程式,發現2款程式在取得存取權限後,會自動或由用戶開啟「強化搜尋」功能時,將用戶通訊錄中所有聯絡人的資料上載和整合到程式的資料庫中,並供其他用戶搜索,個人資料如姓名、電郵地址,甚至住址等有機會被人一覽無遺。當中1款更在個人資料保存期限屆滿後,或仍將原本理應已銷毀的用戶資料存放於備份系統中,做法明顯欠妥。
為識別聯絡人的來電,大部分垃圾電話攔截程式均需存取用戶通訊錄。除「芝麻來電 Jima Caller ID」不會讀取通訊錄和「小熊來電 Call Defender」的Andriod版本預設毋須存取通訊錄外,其餘程式的Android版本一般都要求索取有關權限。
調查發現,「CallApp」在存取用戶通訊錄後,會自動將所有聯絡人的資料上載和整合到商戶的資料庫內,供其他用戶「反向搜索」,只需輸入電話號碼即可追溯到號碼持有人的名字及查閱其個人資料,包括中英文姓名、電郵地址或社交媒體連結等。換言之,若有用戶在通訊錄中儲存了親友的電話號碼,而在使用該程式時同意被讀取通訊錄,即使該些親友本身從未下載或批准該程式使用其個人資料,其資料亦會被取用和上載,令人防不勝防。
「CallApp」的私隱政策表示,假如用戶容許商戶收集屬於他人的資料,應告知其通訊錄上的聯絡人和其他人士有關商戶會收集和分享其資料的做法,以及引導他們參閱其私隱政策和服務條款;惟消委會認為此舉等同把商戶擷取通訊錄的責任強加於用戶身上,有關要求不合理而且不可行。
「Truecaller」同樣會以類似方式取用及上載用戶的通訊錄,不過只限於在程式官方網站下載檔案(如APK檔)及安裝程式,並啟用「強化搜尋」功能才會出現相關情況。
為確認程式是否會公開披露通訊錄資料,消委會職員使用1部插有全新電話卡、通訊錄中只載有新登記號碼的手機下載程式並進行實試。結果發現通訊錄中的新登記電話號碼,出現在「CallApp」的資料庫中,反映程式有分享通訊錄內的資料。此外,不少職員及其親友的私人電話號碼亦能在「CallApp」和「Truecaller」的資料庫中搜索到,毋須相關人士批准便可任意查看號碼持有人的姓名等資料。有部分號碼持有人的姓名欄更列出其舊有住址(包括樓層和單位)及每月租金等敏感資料,懷疑是從業主或地產經紀的通訊錄中取得。
當用戶帳戶被刪除或停用後,商戶一般會根據其私隱政策,保存用戶資料一段時間後銷毀。然而,「CallApp」私隱政策訂明用戶個人資料與被除名的資料會被保留最多5年,而即使保存期過後,相關資料仍可能會被存放於商戶的備份系統之中,換言之相關資料可能無法獲完全刪除。
🎓全新TOPSchool全港中小學校搜尋器,入HKET App即睇!
下載HKET App,追蹤TOPick WhatsApp頻道,睇全方位資訊:
記者:黃穎津