「安心出行」絕無私隱風險? 誰人不斷發佈「虛假和失實資訊」?

0
17

【文:大地上的資訊保安 】

政府資訊科技總監辦公室(OGCIO,即資料辦)一再強調 #安心出行 無洩漏私隱的問題[0],甚至搬出 PCPD 話個程式符合《個人資料(私隱)條例》(PDPO)嘅要求[1],絕不構成私隱風險,叫大家放心,「切勿輕信虛假和失實資訊」。

先唔講點解個 app 明明無私隱問題,香港創科第一人、OGCIO 所屬嘅創新及科技局薛局長今年初上電台節目嗰陣點解仲要話「私隱固然重要」,但為咗抗疫,叫市民「真係要放低一些自己嘅考慮」、「放低一些關注」[2],只係想問,係咪符合《個人資料(私隱)條例》嘅要求就一定唔會有私隱風險?

睇返 PCPD 嘅介紹,PDPO 早喺 1996 年已經生效。2012 年進行過重大修定,「應對私隱保障工作的新挑戰和公眾關注而加入更多保障」。事隔多年,相信政府內部都已經有足夠嘅指引同守則,確保各部門嘅運作同埋用嘅系統符合 PDPO 嘅規定,而且達到資訊保安要求。

咁不如就睇睇近年嘅一啲例子:

[💥] 2017 年 3 月,REO 喺行政長官選舉第二日發現唔見咗兩部載有 1200 名選委同全港 378 萬名地方選區選民個人資料嘅電腦。[3]

[💥] 2020 年 2 月,OGCIO 兩部用作監察家居檢疫人士嘅電話失竊,內有 122 位人士嘅個人資料。[4]

[💥] 2020 年 4 月,時任創科局局長、見過 Steve Jobs 嗰位楊局長喺立法會回應議員查問嗰陣提到,2015 – 2020 年間 OGCIO 共接獲 19 宗可能涉及政府管有資料外洩的資訊保安事故報告,其中 2015、2016、2018 每年各有 1 宗、共 3 宗被列入「網絡攻擊入侵資訊系統」嘅事故分類;而「濫用資訊系統或操作失誤」嘅呢段時間就有 6 宗;其餘嘅 10 宗為「流動裝置或抽取式媒體遺失或被盜」,每年至少有 1 宗。[5] (當然無資料顯示呢啲事故全部都同個人資料有關,但呢啲數字大概都喺「保護資料」方面有參考價值)

為免被指虛假失實資訊,重申上述例子都係喺政府官方網站搵得到嘅。

而家唔係要翻舊帳追究點解喺《個人資料(私隱)條例》生效多年之後,各部門都仲會多次發生資料外洩事故。只係事實證明就算咁重視市民私隱嘅政府都唔會因為《個人資料(私隱)條例》提供到絕對嘅保障。規定從來只係規定,並無法有效防止事故發生,否則就唔會發生有警員喺鏡頭面前展示被截查人士嘅身份證嘅情況。

上述例子仲顯示咗流動裝置容易遺失,係資料外洩嘅常見途徑,「出行紀錄只存放用戶手機」就無事?吓?

流出嘅資料就如潑出去嘅水,跟本無可能收得返,你睇 #hkleaks 生命力有幾頑強就知道啦。

「絕不構成私隱風險」?哈哈,勸大家都係唔好咁腦定,分分鐘呢句可能就係最失實嘅評論。

要保護有效資料,除咗政府再三強調嘅用法流程之外,仲好依賴人員同科技。人從來都係成套系統入面最弱嘅一環,而且涉及信任嘅問題,呢點唔多作評論喇。淨返科技上嘅設計同措施往往係評估一個系統最實際而客觀嘅條件,而做呢方面嘅分析唔係聽你講幾句片面之詞就得。

參考其他有類似嘅 app 嘅國家同地方[6],好多都有某程度上嘅開放資訊。有唔少係基於 Google 同 Apple 嘅 Exposure Notification(GAEN) ,最起碼個 protocol 係公開嘅 [7],當中仲有唔少國家成個 app 甚至 backend API 都 open source 埋,例如德國嘅 Corona-Warn-App [8]、加拿大嘅 COVID Alert [9]、新西蘭嘅 NZ COVID Tracer [10]、英國嘅 NHS COVID-19 App [11] 等等。就算唔係用 GAEN 嘅國家,例如新加坡嘅 TraceTogether 所基於嘅 BlueTrace protocol 有詳細嘅 whitepaper [12],仲有 open source 嘅 implementation 供參考[13]。

點解要將設計甚至資料開放?因為大家都明白呢啲程式本質就係做緊追蹤,當中無論用咩方法記錄行蹤,唔多唔少都會影響到用戶私隱,萬一資料流出對用戶嘅影響可以好大。口講無憑,系統越公開越透明,越容易得到用戶信任,其他人亦較容易去驗證做法有幾安全,自然大家就會用得比較放心。啱呀!又無做壞事怕咩公開呀?

但香港政府嘅態度就大相徑庭:用生計要挾場地配合、近乎強制咁迫市民使用,不斷透過官方龐大話語權錄音機式咁重覆自己立場,以圖蓋過其他聲音。一味淨係識得「繼續做好解說工作,呼籲公眾認清事實」,市民嘅顧慮都係因為「虛假和失實資訊」。簡單嚟講,就係擺出一副「我啱晒」 嘅態度,所有嘢都係市民錯,又或者只係佢哋唔明。同 2019 年推銷《逃犯條例》嘅手法同出一轍,或者經過咁多事佢哋其實係從來都無學懂過任何教訓。

OK 我就當你只係格衰啲啫,或者個 app 真係寫得好好呢?哦,又一齊睇下。

[▪]  2020 年 11 月 6 日,有人話個 app 拎太多權限,當時 OGCIO 高調咁逐點反駁,仲話「已使用最少的手機權限,而所需權限的目的是令應用程式順利地運作」[14]。唔夠一個月(12 月 11 日),佢哋趁公佈新功能嗰陣臨尾細細聲話已經「已減少程式所需權限」[15]。好神奇,明明本來已經係最少,突然仲可以減少,而程式仲依然運作暢順。

[▪]  自程式推出初期開始,OGCIO 不斷強調話「資料會加密存放於用戶的手機,不會備存在任何政府或其他系統內」。2020 年 11 月 16 日,薛局長喺立法會回應市民提問嗰陣話「用程式採用AES-256加密標準保護儲存在用戶手機內的出行記錄數據」[16]。3日後(11月19日),有網民拆開程式分析「所謂加密」其實係做緊乜 [17],發現用緊嘅加密標準只係 AES-128 並非局長所聲稱嘅 AES-256,加密強度弱咗好多。更重要嘅係加密用嘅密鑰就咁放喺電話嘅 local database 入面,等同將鎖匙放喺夾萬旁邊。直到同年 12 月初推出嘅更新先至偷偷地將加密標準由 AES-128 升級返去 AES-256 [18],但鎖匙同夾萬依然喺埋一齊。如果市民好似 OGCIO 早前咁不幸遺失電話,用安心出行紀綠嘅行蹤資料就有可能流入不法之徒手中。「絕不構成私隱風險」?

究竟邊個先喺度不斷咁發佈「虛假和失實資訊」?如果市民見到咁樣都「完全唔覺得有啲咩唔妥」,會唔會算係「完全缺乏風險管理意識」?

政府資訊科技總監辦公室 Office of the Government Chief Information Officer 不如講兩句?

————-

[0] https://www.info.gov.hk/……/202102/20/P2021022000494.htm
[1] https://www.pcpd.org.hk/……/med……/press_20210219.html
[2] https://www.thestandnews.com/……/%E8%96%9B%E6%B0……/
[3] https://www.pcpd.org.hk/……/med……/press_20170612.html
[4] https://www.info.gov.hk/……/202002/19/P2020021900512.htm
[5] https://www.info.gov.hk/……/202004/22/P2020042200293.htm
[6] https://www.xda-developers.com/google-apple-covid-19……/
[7] https://www.google.com/covid19/exposurenotifications/
[8] https://github.com/corona-warn-app
[9] https://github.com/cds-snc/covid-alert-app
[10] https://github.com/minhealthnz/nzcovidtracer-app
[11] https://github.com/nhsx/covid19-app-system-public
[12] https://bluetrace.io/
[13] https://github.com/opentrace-community/opentrace-android
[14] https://www.info.gov.hk/……/202011/16/P2020111600797.htm
[15] https://www.info.gov.hk/……/202012/11/P2020121100224.htm
[16] https://www.info.gov.hk/……/202011/18/P2020111800383.htm
[17] https://blog.headuck.com/……/%e3%80%8c%e5%ae%89%e5……/
[18] https://blog.headuck.com/……/%e3%80%8c%e5%ae%89%e5……/

发表评论