资料保障机构共同发公开信予视像电话会议公司表达对私隐的期望

于2020年7月22日,来自澳洲、加拿大、直布罗陀、香港、瑞士及英国的六个资料保障机构(合称该等机构)发公开信(公开信)表达环球共同对视像电话会议公司(视像会议公司)的私隐期望[1]

何以发出该公开信?

由于新冠肺炎疫情大流行,该等机构发现在社交及商务层面上对视像会议公司工具的使用量不断上升。在该公开信内,该等机构向视像会议公司提供识别及应对传媒报道以及直接向该等机构提出的某些令人关注的私隐问题。

透过环球私隐议会(议会)的国际执法合作工作小组(工作小组),该等机构联合起来向世界各地的所有视像会议公司发出该公开信。此外,该等机构亦将该公开信直接发送予微软(Microsoft)、思科(Cisco)、Zoom、House Party及Google。

该公开信载述甚么内容?

该公开信向视像会议公司列载在设计及提供其服务时应对一些主要私隐风险的原则。现将该等原则概述如下:

  • 保安措施。 视像会议公司应设有某些标准的保安措施,以防御网络保安风险及威胁,正如该等机构在该公开信中所指出,该等措施一般会包括对所传达的所有资料数据使用有效的端对端加密、双重认证及强度密码。此等保安措施应经常进行检讨及更新。
  • 贯彻私隐设计及预设私隐模式。 在设计平台时,视像会议公司应在开始之初(而不是事后才考虑),便将资料数据保障及私隐权纳入作为其服务整体的一部分,并且采用最为保障私隐的设定作为预设模式。举例而言,平台可设有以下功能,例如:通知有新来电者、在加入会议时将音频或视像信号设置为静音,以及令用户能够征询其他用户的同意。
  • 了解您的受众。 视像会议公司应了解并检讨用户如何运用其平台,尤其在涉及儿童、弱势群体,以及电话通讯所讨论的很可能属于敏感议题的情况下。
  • 透明度及公平性。 视像会议公司应主动积极地以易于查阅的方式令用户知悉其个人资料将会被如何使用,并确保视像会议公司以公平及符合预期的方式使用所收集的个人资料。视像会议公司在有需要时应取得用户给予特定及知情的同意。
  • 终端用户的控制权。 正如该等机构在该公开信中所指出,视像会议公司平台的某些崭新功能「可能引发进行秘密或非预期监察的风险」。举例而言,在虚拟课堂上,教师作为主持人或会获准追踪终端用户(即学生)的注意力。视像会议公司应确保终端用户对其平台上的该等功能掌握适当的资讯及控制权。

视像会议公司获邀于2020年9月30日或之前就该公开信作出回应,以展示视像会议公司如何在设计及提供服务时顾及上述原则。

视像会议公司还可参照甚么指引?

回溯到2019年5月,香港个人资料私隐专员与新加坡个人资料保护委员会刊发共同制作的《资讯及通讯科技系统的贯彻数据保障的设计(贯彻数据保障设计)指引》(指引)[2]

该《指引》列载适用于软件开发各阶段以及现有资讯及通讯科技(资讯通讯科技)系统的贯彻数据保障设计原则。该《指引》亦详细推介资讯通讯科技系统的良好数据保障做法,涵盖由设定网上表格及测试以至输出数据及在系统内保留个人资料数据等范畴。

总结

随着网上通讯工具被频繁用作在新冠肺炎疫情期间封锁及口岸管制措施下保持连系的工具,公众对资料私隐权日表关注。虽然仍未确定目前的情况将会维持多久,但视像会议公司平台的用户层毫无疑问会持续扩张,而资料私隐权将会是我们必须充分和及时处理的问题。视像会议公司在通讯新趋势的发展方面担当关键的角色,故应留意其在资料保障上所承担的社会及(在某些情况下)法律责任。视像会议公司平台的用户(不论是工商机构或个人)亦应知悉其在有关平台上处理本身及他人的个人资料时所涉及的权利及责任。