[Man講座]擔心個人資料被人賣豬仔? 教你分析手機廠商私隱保護水平

上個月的專題文章<<深入認識 Android 每月安全更新,你要知的十件事>>與大家深入探討 Android 安全更新的意義,幸獲不少正面評價。今日再接再厲,調查與研究 Nokia Mobile 私隱操守及數據保護,為一眾 Nokia 手機用家揭開貌似神秘的面紗,解答用家心中積存多時的疑問。

選購新電話時,大多消費者偏向著重硬件規格及功能,不過我們必須明白手機儲存大量個人資料,所以前文提及安全更新有助鞏固手機系統保安水平,應對層出不窮的安全威脅,守護個人資料。與此同時,我們亦應留意手機廠商會否收集不必要的用戶數據,是否擁有良好私隱操守及數據保護能力。Man 建議考慮手機品牌時應選擇尊重客戶私隱的企業,否則後悔莫及。

 

*本文內容屬學術討論,不構成任何法律意見或建議*

若要考慮一家企業的私隱水平,Man 提出以下八條問題協助大家判斷:

  1. 私隱政策是否公開透明
  2. 收集甚麼類型的資料及數據
  3. 收集目的
  4. 在哪裡儲存用戶數據?
  5. 有否遵守私隱法律? 遵守哪些私隱法律?
  6. 會否出售我的資訊?
  7. 有沒有聘任專家負責監管資料保護、私隱法合規?
  8. 客戶擁有的權利

接下來 Man 會逐一為大家講解、拆解以上問題,尋找答案。Are you ready?

 

(1) 私隱政策是否公開透明

一家具規模而負責任的企業應當尊重及認真保護客戶的個人資訊,因此制定及對外發布個人私隱政策 (privacy policy) 乃個人資料保護的重要一環,清晰明確列出個人資料處理之原則及方式,還有下文將會提及的資料收集類型與目的。

簡括而言,完善的私隱政策可以發揮兩大功能:

  1. 讓客戶清楚了解企業收集個人數據的準則,保障知情權
  2. 讓企業每個部門嚴格跟隨,避免收集過多及不必要的資訊

Nokia Mobile 作為北歐傳統品牌,一向尊重及注重用戶私隱,因此官方網站特設 Privacy Portal,仔細按照不同服務類別提供詳盡深入的私隱政策條文及相關附錄,一律公開透明,客戶可隨時查閱研究。該私隱政策內容按照歐盟 GDPR 要求編寫,同時加入美國 CCPA 附錄 (根據美國加州消費者隱私保護法編寫),可見 HMD Global 致力緊隨世界各地的私隱法規要求,符合國際大型企業作風。

有興趣的讀者可閱讀以下精選內容,進一步認識 HMD Global / Nokia Mobile 的私隱政策:

HMD Global Privacy Policy for products and services (總私隱政策)

User Experience Program Supplement (客戶體驗提升計畫的私隱細則)

Nokia phones Care Supplement (保養服務的私隱細則)

Nokia phones account Supplement (Nokia 手機戶口的私隱細則)

按: HMD Global 同時重視僱員及商業客戶 (B2B) 的私隱,故另外提供相應的私隱細則,但不適用於一般手機顧客。

 

(2) 收集甚麼類型的資料及數據

(3) 收集目的

絕大部分手機廠商都需要收集及處理用戶數據以註冊裝置、提供服務,並改善用戶體驗,但這絕不代表企業可以任意收集不同種類的個人數據。評核一家手機廠商的私隱操守時,需要真正思考的問題在於到底廠商會收集甚麼類型的用戶資料,再進一步判斷種類是否合理,從中檢視有沒有收集過多而不必要的個人數據 (excessive collection of personal data)

若要判斷收集的資訊種類合理與否,就要先了解收集目的,同時思考該等目的是否合理。另外所有目的背後必須存在合法依據 (legal basis) 支持數據收集及處理,香港個人資料(私隱)條例及歐盟 GDPR 都設類似要求。

正常情況下,一家符合法律及道德標準的企業只會收集與其產品、服務直接有關之個人數據,絕不會從客戶獲取過多且無關的資訊。舉個例子,一家餐廳在電話訂座時可詢問客人的姓氏、聯絡電話、人數,這些都是與訂座目的直接有關而合理的資訊收集,然而餐廳不應問及客人的職業、收入、地址,因為與訂座目的無關,無疑屬 excessive collection。下次向商家提供個人資料時,記得應用以上原則保護自己。

言歸正傳,以上由 Nokia Mobile 發布的資訊圖正好解釋上述疑問。HMD Global 也會因與產品、服務直接關聯之目的收集有限且指定的用戶數據,詳見下列翻譯:

收集目的

  • 啟動手機保養計畫
  • 提升用戶滿意率
  • 改善產品使用體驗

有機會收集到用戶數據

  • 啟動資訊 (新產品第一次開機時需要向 HMD Global 登記及啟動保養)
  • 手機故障診斷

至於其他目的及數據收集類型,大家可參閱 HMD Global 的私隱政策中 “What information do we collect?" 和 “Why do we process personal data?" 兩章。

除此之外,根據 HMD Global 私隱政策,旗下 Nokia 產品的資料收集及處理皆具相應合法根據作基礎。條文中提及的四個根據 (contract, legitimate interest, consent, legal obligation) 均屬歐盟 GDPR 所接受且認可的合法根據。由此可見,HMD Global 擁有清晰透明資料收集與處理原則,小心限制資料收集,尊重所有用家個人私隱,貫徹 Trust It 精神。

 

(4) 在哪裡儲存用戶數據?

Google 芬蘭數據中心

探討完兩大重要議題之後,相信不少人都忘記了思考另一更舉足輕重的問題: 到底 HMD Global 在哪裡儲存數據? 儲存地方安全可靠嗎?

為了追尋真相,Man 特意向 HMD Global 查詢,所得回覆如下:

all phone activation and performance data is stored in one centralised location on Google Cloud servers in Hamina, Finland

根據回覆,Nokia 手機的註冊及診斷數據都會儲存位於芬蘭哈米納的 Google Cloud 伺服器。Man 認為好處有二,一來數據中心的日常運作必須遵守及符合歐盟 GDPR 及芬蘭當地法律的嚴格要求,二來數據保護 (data protection) 與資訊保安 (information security) 尤其重要,況且 Google 作為世界著名科技龍頭,其網絡保安能力、經驗相信無容置疑,值得我們放心交託。

Google 芬蘭數據中心

有趣分享: Google 買下芬蘭紙業公司的造紙工廠,改建為數據中心,採用先進冷卻系統,取用芬蘭灣海水降溫,從而減少能源消耗,與 HMD Global 的可持續發展理念 (sustainability) 一致。如有意了解更多,可瀏覽 Google 網站

 

(5) 有否遵守私隱法律? 遵守哪些私隱法律?

根據 HMD Global 官方網站 (見上圖),HMD 致力遵守所有適用的私隱法規,並且制定嚴格的內部個人資料管理指引,要求所有員工認真跟隨。

WHAT DOES GDPR GOVERN -

世界各地的私隱法律之中,以歐盟 General Data Protection Regulation (GDPR) (可譯作通用資料保護規則或一般資料保護規則) 最為著名,因為要求和標準可說是最嚴格、最仔細、最複雜,務求妥善保障普羅大眾之個人私隱,難怪推出當年令不少大型企業煩惱。紐約時報曾經形容 GDPR 是最嚴格的私隱規則 (“the strictest online privacy rules")。

由於 HMD Global 來自芬蘭 (歐盟成員國),同時在歐盟境內銷售手機及提供服務,因此受到 GDPR 所有適用規定的管制,同時受到歐盟嚴格監管,等於間接確保所有 Nokia 手機及平板電腦用家的私隱得到一流保障。以上文字選段錄自 HMD Global 的 Holistic Security in a Hybrid Working World 一文 (p.10),原來 HMD 視 GDPR 為其安全、私隱政策之根源。

 

(6) 會否出售我的資訊?

多年來,不少只求圖利的企業罔顧客人私隱,暗中向其他公司出售客戶資訊牟利,買家多數利用收購所的個人資訊來傳銷,甚至用作詐騙,無可否認此類無良交易招來大眾憎惡。兩年前美國加州 CCPA 一法則設立規例針對如斯歪風,要求企業主動讓客人拒絕出售其個人資料,此權利可稱作 “Do Not Sell My Personal Information"。

HMD Global 私隱政策則明確表示不會向第三方出售、出租用戶個人數據,保障用家的個人私隱,在此引用條文原文:

We do not sell, lease or rent your personal data to third parties.

敢於向客戶承諾,尊重客人私隱,向歪風說不,才是 Trust It 的根源。

 

(7) 有沒有聘任專家負責監管資料保護、私隱法合規?

根據 GDPR 要求,企業必須委任一位個人資料保護主任 (Data Protection Officer,簡稱 DPO),負責客戶私隱及數據保護。HMD Global 現任 DPO 為 Jari Koljonen,LinkedIn 資料顯示,Jari 是 HMD 的 General Counsel,曾於 Nokia Corporation 任職十三年,擁有豐富法律與商業合規經驗。Jari 指出 HMD 實行嚴格私隱要求,及持續進行私隱風險評估,符合 GDPR 要求 (來源)。

事實上,內部監督說不上完善,因此 HMD Global 定期委託外部專家審核 HMD 的個人數據收集與數據管理,每當更動或新增個人數據收集活動亦要先得到私隱專家批准 (來源)。透過內外雙方合力共同維護 Nokia 手機用戶的個人私隱,將風險降到最低,切合 Nokia Mobile 顧客利益。

 

(8) 客戶擁有的權利

觀乎企業收集及使用客戶個人數據的過程,客戶似乎身處被動位置。事實並不然,GDPR 賦予用戶若干私隱權 (data subject rights),可隨時向資料收集者提出要求,除非有合理解釋,企業不得拒絕。鑑於 GDPR 的法律要求,另一用戶考慮關鍵就是企業有否提供上述私隱權。

上圖來自 Nokia Mobile 的 Privacy Policy 中 “What Are Your Rights" 一章,當中明確按照 GDPR 要求向用戶提供六種不同私隱權。當中比較值得留意的是 Right to Be Forgotten (一般翻譯為被遺忘權),用戶可要求企業刪除所持有的個人資料,換言之從公司資料庫徹底消失。順帶一提,執筆時香港私隱法例仍未包含被遺忘權,所以這正是選擇跟隨歐盟法律的廠商一大好處。

 

總結: Trust It,信賴尊重私隱、努力保護私隱的品牌

隨著公眾對私隱權日益重視,近年不少新私隱法登場,監管各行各業對個人資料的收集與使用,無奈不少公司私隱操守參差不齊,容易造成過多數據收集 (尤其是敏感資訊),或利用作不法用途,甚至出售個人資料。因此,Man 建議大家小心選擇尊重且努力保護客戶個人私隱的品牌,保護自己,才可以用得安心又稱心。誠然私隱合規工作專業且繁複,的確增加企業營運成本,某程度上轉嫁用家在所難免,有機會稍微影響產品價錢。正所謂私隱有價,多付一點鈔票換取更好的保障還是任人魚肉,相信各位自有定斷。

無論如何,希望以上準則能夠協助各位選購可以信賴的手機,同時可應用在其他類型的產品和服務,做個精明的消費者。

 

本文由 HMD Global 贊助

 

歡迎讚好 ManHungTech 的 Facebook 專頁

延伸閱讀:

深入認識 Android 每月安全更新,你要知的十件事

逆境下堅持理念: Nokia Mobile 如何追求可持續發展(Sustainability)

三防、5G、兩年保養: Nokia XR20 可以放心用幾年

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s

在 WordPress.com 建立網站或網誌

向上 ↑

%d 位部落客按了讚: