20180415-周日話題:關鍵在小朱那些回答不了的問題
周日話題:關鍵在小朱那些回答不了的問題
2018年4月15日 星期日
【明報專訊】議員問題有趣,朱克伯格也被笑迴避問題、答完等於冇答、口窒窒。「看他說與不說什麼、如何說,已可知道好多。」徐洛文認為兩場聽證會不能立時解決所有問題,但朱克伯格沒有答、答不上、要回去問團隊的問題,都值得政府與媒體跟進。
A.「你願意告訴我們昨晚下榻哪間酒店嗎?」「嗯……不。」
那可能是朱克伯格在聽證會上度過最長的幾秒,他終於選擇答no,場內響起笑聲。不過答案暴露這位fb創辦人對一己私隱與用戶資料,並非一視同仁。聽證會前爆出朱克伯格用fb messenger有超然地位,可從交談對象的對話框刪走信息。面對議員質問,他重複又重複強調用戶擁有資訊的控制權,John Kennedy問:「你會否願意回去研究如何給我更大的權利去刪掉我的數據?」他答﹕「你已經可以這樣做。」也有網民留言撐朱克伯格,說用戶原本就可以決定將什麼放上fb,怎能倒過來怪別人取得這些資訊?
資料刪除了,真的消失?
「刪除是否可令資料從伺服器消失?別人還能否使用資料?」徐洛文認為所謂用戶可決定數據會否被分享、任憑用戶控制,這種說法會令人誤解。「刪除不等於會從伺服器上立即刪除,也不代表取得資料的第三方會刪除。」「劍橋分析」便沒有做到,而且即使用戶已刪除帳戶,亦阻止不到第三方繼續使用已取得的數據。在事件中,用戶無法控制朋友參不參加心理測驗,但一旦你成千成百的「朋友」中有一人參加,就把你的數據也拱手相讓給「劍橋分析」。「用戶願意分享一切,但有時甚至不知自己分享了什麼,即使知道,也不一定同意資料如何被使用。他們可能願意分享政治立場,不意味願意讓公司用來左右選舉。」
並不是每個議員都輕易放過朱克伯格,對於一些「是非題」,他解釋一番,卻堅持不答是或否,即使議員追問亦無果。Frank Pallone問fb會否承諾改變所有預定設置(default settings)令用戶數據被蒐集與使用的可能減至最低,更一度打斷朱克伯格的解釋追問yes or no,不過朱克伯格只答,呢個問題好複雜。徐洛文認為關鍵正在於預定設置,而非用戶擁有什麼權利。許多設定預設為用戶願意將資訊公開及分享,也因此成就了fb的商業模式。今次出事後,fb移除了「其他人使用的應用程式」的選項,原本用戶若想禁止因朋友使用應用程式令自己的資料也被「分享」,要在這裏選no,不過這個設定並非列於「私隱」一欄之內,要人人都懂得找到相關選項,不僅對fb不甚了解的議員無法做到,也可能難倒每天在fb出post的用家。
A.「你不認為你們在壟斷?」「我當然不會覺得是這樣。」
朱克伯格風趣回應,場內又聽見笑聲。「唔鍾意可以唔好用。」不少網民不忍他端坐十小時受盡質疑,留言以表支持。用戶是否來去自如?看2017年社交媒體的用戶數量,fb每月活躍用戶達21.3億,屬fb的Instagram有8億,另Twitter3.3億、Snapchat每日活躍用戶1.78億。徐洛文回想在香港,以前我們無法攜電話號碼轉台,「現在社交媒體就似是處於這個階段。」從fb跳到另一個平台,Instagram可連結fb加好友,但想開個Twitter帳戶,就要由零開始。「可以問fb的是,有沒有任何計劃改善數據的portability(便攜性),讓用戶輕易將數據import(匯入)及export(匯出)?」
A. 「你覺得歐洲人做對了嗎?」「我想,他們把事情做對了。」
「別說我們已做到GDPR的要求。」朱克伯格的貓紙上寫了這麼一句。歐盟下月實施的《通用數據保護條例》(GDPR)將比以往嚴格,Lindsey Graham直截了當問fb是否接受監管,朱克伯格說﹕「真正的問題是當互聯網對人們的生活愈來愈重要,怎樣的監管才是對的。」Graham問歐盟的新例算不算得上「對的」,他認同,亦承諾fb因應GDPR的改動將會全球通用。徐洛文對朱克伯格的回答略感意外,沒有答「視乎情况」來迴避:「美國的私隱法比較弱,他們將私隱視為消費者權利,歐洲則把私隱看得更重,將其視為人權。GDPR其中一項要求是公司蒐集資料要有具體目的,不得蒐集目的以外的數據。」
fb有多配合GDPR,在新例未實行前,仍是言之尚早。
香港人似乎在這場風暴中不痛不癢,8700萬受影響用戶裏,逾7000萬是美國人,英國人110萬,加拿大人60萬。香港人,有冇份?這可能是我們第一個要問的問題。
Q. 「劍橋分析」事件,香港人有冇份?
有。我們其中一名記者收到通知,「我們已封鎖了應用程式This Is Your Digital Life,你有一位朋友曾登入。我們這樣做是因為此應用程式可能與劍橋分析分享你的facebook資料,造成不當使用。在多數個案中,這些資料包括個人檔案、專頁上的讚好、出生日期及所在城市。」我們曾向facebook查詢受影響的香港用戶數字,發言人稱未能提供。如想查知你的帳戶有否中招,可到fb相關網頁:https://bit.ly/2JA0EAc
Q. Facebook受《個人資料(私隱)條例》監管嗎?
Fb回覆,「Facebook遵守我們業務所在的國家及地區的法律及法規」,而香港個人資料私隱專員公署亦答覆「一般而言,任何社交網絡平台的營運商(作為資料使用者),若在香港透過其平台或所提供的渠道收集、持有、處理或使用(包括披露和轉移)用戶的個人資料,都須遵從《私隱條例》的相關規定以及保障資料原則。」不過徐洛文提到,伺服器的所在地可能會造成司法上的爭議。美國司法部曾就一宗販毒案要求微軟交出電郵用戶的通訊內容,微軟稱資料存於愛爾蘭伺服器為由拒絕及上訴,兩方「交戰」長達5年。Google將數據分存於世界各地的數據中心,拒絕向FBI交出電郵資料,被美國聯邦上訴法院判敗訴。我們向私隱專員公署查詢若發生個人資料泄露事件,「伺服器不在香港」會否對追究造成困難,公署答覆伺服器所在地僅為其中一個考慮因素,針對fb近日事件,因目前正展開循規審查,不作評論。
Q. IP Address(IP地址)、上網紀錄是否屬於條例保障的「個人資料」?
徐洛文曾參與展開「誰手可得」計劃(accessmyinfo.hk),協助大眾向電訊商提出查閱網際網絡紀錄、地理位置、向第三方披露的資料等,有電訊商解釋IP地址不屬「個人資料」,故未能提供部分資料。公署向我們解釋,「單憑IP地址本身或不能辨識電腦或手機使用者的身分,但網絡供應商一般都會持有用戶的帳戶資料(如個人姓名和地址)以辨識用戶的身分。故此雖然單從IP地址本身難以辨識個人身分,但與其他資料結合起來便屬於個人資料。」不過記者進一步詢問,如電訊商持有用戶姓名及IP地址,用戶是否在此情况下,因IP地址屬「個人資料」而可按《個人資料(私隱)條例》向電訊商索取IP地址及網際網絡紀錄的資料複本?公署未有明確回應,稱難以一概而論。「法政匯思」蔡騏就指以公署說法,用戶可依「誰手可得」向電訊商查閱資料。
蔡騏說即將在歐盟推行的GDPR已將IP地址列為個人資料,GDPR的網頁問答亦清楚說明,可直接或間接辨識個人身分的資料,包括照片、電郵地址、電腦IP地址均屬「個人資料」。香港的《個人資料(私隱)條例》會否修訂至GDPR同等標準?公署稱「會繼續就各地的資料保障法規進行研究,適時檢視本地相關條款」。
保護私隱小貼士
Your user agreement sucks. 議員這樣當面斥責朱克伯格,徐洛文說,用戶協議之繁複,即使他進行相關研究,亦不易理解,上億的用戶又有多少人明白?說用戶有權控制公開什麼資料,要用戶負上保護私隱的全責是否合理?不過當我們過着依賴網絡、社交平台的生活,「很多人說飲食要健康,現在卻似餐餐食快餐」,不關心我們的使用習慣是否「健康」。問及這位曾加入Google負責亞太區言論自由事務的學者有何貼士,他教記者可安裝以下的app﹕
Signal:通訊軟件,有說Telegram比WhatsApp安全,但WhatsApp現已對信息點對點加密,Telegram反而需另開Secret Chat才可加密對話。Signal在加密以外,所儲metadata較WhatsApp少,亦是開源軟件,源始碼公開任人獲取,可知程式有沒有後門(backdoor,為方便修改程式而設,易被黑客攻擊)。
Password Manager:是一種app的類別。可管理多個登入系統的密碼,亦可按字母、數字要求生產密碼,減低多個帳戶用同一密碼的風險。
Authenticator:Gmail登入可設兩步驗證程序,在原有密碼以外多加「一道閘」,需另外輸入手機上Authenticator的密碼,也可應用於facebook。
F-Secure FREEDOME VPN:對連線加密,防止用公共Wi-Fi時被黑客乘虛而入,也可改所在地資料,以防監控。
文//曾曉玲
編輯// 蔡曉彤
fb﹕http://www.facebook.com/SundayMingpao
2018年4月15日 星期日
【明報專訊】議員問題有趣,朱克伯格也被笑迴避問題、答完等於冇答、口窒窒。「看他說與不說什麼、如何說,已可知道好多。」徐洛文認為兩場聽證會不能立時解決所有問題,但朱克伯格沒有答、答不上、要回去問團隊的問題,都值得政府與媒體跟進。
A.「你願意告訴我們昨晚下榻哪間酒店嗎?」「嗯……不。」
那可能是朱克伯格在聽證會上度過最長的幾秒,他終於選擇答no,場內響起笑聲。不過答案暴露這位fb創辦人對一己私隱與用戶資料,並非一視同仁。聽證會前爆出朱克伯格用fb messenger有超然地位,可從交談對象的對話框刪走信息。面對議員質問,他重複又重複強調用戶擁有資訊的控制權,John Kennedy問:「你會否願意回去研究如何給我更大的權利去刪掉我的數據?」他答﹕「你已經可以這樣做。」也有網民留言撐朱克伯格,說用戶原本就可以決定將什麼放上fb,怎能倒過來怪別人取得這些資訊?
資料刪除了,真的消失?
「刪除是否可令資料從伺服器消失?別人還能否使用資料?」徐洛文認為所謂用戶可決定數據會否被分享、任憑用戶控制,這種說法會令人誤解。「刪除不等於會從伺服器上立即刪除,也不代表取得資料的第三方會刪除。」「劍橋分析」便沒有做到,而且即使用戶已刪除帳戶,亦阻止不到第三方繼續使用已取得的數據。在事件中,用戶無法控制朋友參不參加心理測驗,但一旦你成千成百的「朋友」中有一人參加,就把你的數據也拱手相讓給「劍橋分析」。「用戶願意分享一切,但有時甚至不知自己分享了什麼,即使知道,也不一定同意資料如何被使用。他們可能願意分享政治立場,不意味願意讓公司用來左右選舉。」
並不是每個議員都輕易放過朱克伯格,對於一些「是非題」,他解釋一番,卻堅持不答是或否,即使議員追問亦無果。Frank Pallone問fb會否承諾改變所有預定設置(default settings)令用戶數據被蒐集與使用的可能減至最低,更一度打斷朱克伯格的解釋追問yes or no,不過朱克伯格只答,呢個問題好複雜。徐洛文認為關鍵正在於預定設置,而非用戶擁有什麼權利。許多設定預設為用戶願意將資訊公開及分享,也因此成就了fb的商業模式。今次出事後,fb移除了「其他人使用的應用程式」的選項,原本用戶若想禁止因朋友使用應用程式令自己的資料也被「分享」,要在這裏選no,不過這個設定並非列於「私隱」一欄之內,要人人都懂得找到相關選項,不僅對fb不甚了解的議員無法做到,也可能難倒每天在fb出post的用家。
A.「你不認為你們在壟斷?」「我當然不會覺得是這樣。」
朱克伯格風趣回應,場內又聽見笑聲。「唔鍾意可以唔好用。」不少網民不忍他端坐十小時受盡質疑,留言以表支持。用戶是否來去自如?看2017年社交媒體的用戶數量,fb每月活躍用戶達21.3億,屬fb的Instagram有8億,另Twitter3.3億、Snapchat每日活躍用戶1.78億。徐洛文回想在香港,以前我們無法攜電話號碼轉台,「現在社交媒體就似是處於這個階段。」從fb跳到另一個平台,Instagram可連結fb加好友,但想開個Twitter帳戶,就要由零開始。「可以問fb的是,有沒有任何計劃改善數據的portability(便攜性),讓用戶輕易將數據import(匯入)及export(匯出)?」
A. 「你覺得歐洲人做對了嗎?」「我想,他們把事情做對了。」
「別說我們已做到GDPR的要求。」朱克伯格的貓紙上寫了這麼一句。歐盟下月實施的《通用數據保護條例》(GDPR)將比以往嚴格,Lindsey Graham直截了當問fb是否接受監管,朱克伯格說﹕「真正的問題是當互聯網對人們的生活愈來愈重要,怎樣的監管才是對的。」Graham問歐盟的新例算不算得上「對的」,他認同,亦承諾fb因應GDPR的改動將會全球通用。徐洛文對朱克伯格的回答略感意外,沒有答「視乎情况」來迴避:「美國的私隱法比較弱,他們將私隱視為消費者權利,歐洲則把私隱看得更重,將其視為人權。GDPR其中一項要求是公司蒐集資料要有具體目的,不得蒐集目的以外的數據。」
fb有多配合GDPR,在新例未實行前,仍是言之尚早。
香港人似乎在這場風暴中不痛不癢,8700萬受影響用戶裏,逾7000萬是美國人,英國人110萬,加拿大人60萬。香港人,有冇份?這可能是我們第一個要問的問題。
Q. 「劍橋分析」事件,香港人有冇份?
有。我們其中一名記者收到通知,「我們已封鎖了應用程式This Is Your Digital Life,你有一位朋友曾登入。我們這樣做是因為此應用程式可能與劍橋分析分享你的facebook資料,造成不當使用。在多數個案中,這些資料包括個人檔案、專頁上的讚好、出生日期及所在城市。」我們曾向facebook查詢受影響的香港用戶數字,發言人稱未能提供。如想查知你的帳戶有否中招,可到fb相關網頁:https://bit.ly/2JA0EAc
Q. Facebook受《個人資料(私隱)條例》監管嗎?
Fb回覆,「Facebook遵守我們業務所在的國家及地區的法律及法規」,而香港個人資料私隱專員公署亦答覆「一般而言,任何社交網絡平台的營運商(作為資料使用者),若在香港透過其平台或所提供的渠道收集、持有、處理或使用(包括披露和轉移)用戶的個人資料,都須遵從《私隱條例》的相關規定以及保障資料原則。」不過徐洛文提到,伺服器的所在地可能會造成司法上的爭議。美國司法部曾就一宗販毒案要求微軟交出電郵用戶的通訊內容,微軟稱資料存於愛爾蘭伺服器為由拒絕及上訴,兩方「交戰」長達5年。Google將數據分存於世界各地的數據中心,拒絕向FBI交出電郵資料,被美國聯邦上訴法院判敗訴。我們向私隱專員公署查詢若發生個人資料泄露事件,「伺服器不在香港」會否對追究造成困難,公署答覆伺服器所在地僅為其中一個考慮因素,針對fb近日事件,因目前正展開循規審查,不作評論。
Q. IP Address(IP地址)、上網紀錄是否屬於條例保障的「個人資料」?
徐洛文曾參與展開「誰手可得」計劃(accessmyinfo.hk),協助大眾向電訊商提出查閱網際網絡紀錄、地理位置、向第三方披露的資料等,有電訊商解釋IP地址不屬「個人資料」,故未能提供部分資料。公署向我們解釋,「單憑IP地址本身或不能辨識電腦或手機使用者的身分,但網絡供應商一般都會持有用戶的帳戶資料(如個人姓名和地址)以辨識用戶的身分。故此雖然單從IP地址本身難以辨識個人身分,但與其他資料結合起來便屬於個人資料。」不過記者進一步詢問,如電訊商持有用戶姓名及IP地址,用戶是否在此情况下,因IP地址屬「個人資料」而可按《個人資料(私隱)條例》向電訊商索取IP地址及網際網絡紀錄的資料複本?公署未有明確回應,稱難以一概而論。「法政匯思」蔡騏就指以公署說法,用戶可依「誰手可得」向電訊商查閱資料。
蔡騏說即將在歐盟推行的GDPR已將IP地址列為個人資料,GDPR的網頁問答亦清楚說明,可直接或間接辨識個人身分的資料,包括照片、電郵地址、電腦IP地址均屬「個人資料」。香港的《個人資料(私隱)條例》會否修訂至GDPR同等標準?公署稱「會繼續就各地的資料保障法規進行研究,適時檢視本地相關條款」。
保護私隱小貼士
Your user agreement sucks. 議員這樣當面斥責朱克伯格,徐洛文說,用戶協議之繁複,即使他進行相關研究,亦不易理解,上億的用戶又有多少人明白?說用戶有權控制公開什麼資料,要用戶負上保護私隱的全責是否合理?不過當我們過着依賴網絡、社交平台的生活,「很多人說飲食要健康,現在卻似餐餐食快餐」,不關心我們的使用習慣是否「健康」。問及這位曾加入Google負責亞太區言論自由事務的學者有何貼士,他教記者可安裝以下的app﹕
Signal:通訊軟件,有說Telegram比WhatsApp安全,但WhatsApp現已對信息點對點加密,Telegram反而需另開Secret Chat才可加密對話。Signal在加密以外,所儲metadata較WhatsApp少,亦是開源軟件,源始碼公開任人獲取,可知程式有沒有後門(backdoor,為方便修改程式而設,易被黑客攻擊)。
Password Manager:是一種app的類別。可管理多個登入系統的密碼,亦可按字母、數字要求生產密碼,減低多個帳戶用同一密碼的風險。
Authenticator:Gmail登入可設兩步驗證程序,在原有密碼以外多加「一道閘」,需另外輸入手機上Authenticator的密碼,也可應用於facebook。
F-Secure FREEDOME VPN:對連線加密,防止用公共Wi-Fi時被黑客乘虛而入,也可改所在地資料,以防監控。
文//曾曉玲
編輯// 蔡曉彤
fb﹕http://www.facebook.com/SundayMingpao
留言
張貼留言