淘寶等5款Apps涉存敏感資料　用戶或被監聽

港人近年不但愛透過手機購物，更愛以支付應用程式找數，但隨時引發私隱危機。有報道指5款由內地公司開發的熱門網絡支付應用程式，包括WeChat、淘寶、淘寶全球、支付寶錢包及天貓，除可識別用戶身份、記錄活動及位置定位等敏感資料，更可把相關資料隨時傳送到內地的伺服器。有電腦專家指，相關敏感資料被收集後，用戶在手機的一舉一動，都可能被追蹤、監視或監聽。

傳真社早前使用靜態程式分析，發現安裝上述5個支付應用程式，即可讀取多項敏感資料，包括「用戶國際移動設備識別碼」(IMEI)、「國際移動用戶識別碼」(IMSI)、SIM卡編碼(ICCID)、電話號碼、通話狀態及對方電話號碼等，亦可取得管理或使用指紋、存取位置及錄音權限。

該社利用動態程式作進一步分析，結果顯示，5款支付應用程式已將用戶的IMEI，記錄在有關應用程式的檔案內，隨時可被傳送到內地的伺服器。相反，該社同時測試另外3個網上交易應用程式，包括Android Pay、Google Wallet及八達通，顯示均未有存取IMEI、IMSI等敏感資料。

該社引述中文大學信息工程學系助理教授張克環表示，IMEI、IMSI等都是非常敏感的資料，可取得手機定位資料，如能介入訊號系統，實際上可以跟目標通電話，如洩露ICCID，用戶在手機中的一舉一動，都可能被追蹤、監視或監聽，其實非常危險。

理工大學電子計算學系副教授陳志輝向東網表示，不評論內地支付應用程式的保安問題，但指手機實好比電腦，支付應用程式跟電腦程式無異，敏感資料確有機會外洩，由於外國如美國較着重私隱，故程式有很多限制，無法讀取太多資料作其他用途；他又指，除支付應用程式，其他手機應用程式或設有全球定位系統的電子儀器，亦有機會洩露所在位置、遭掌握每日生活模式，若落入不法之徒手中，後果不堪設想，市民應衡量再決定是否下載或使用。

阿里巴巴集團就淘寶、淘寶全球及天貓回覆傳真社指，對信息的收集、儲存和使用均遵守適用法規，高度重視用戶信息保護；螞蟻金服就支付寶錢包表示，獲用戶授權後收集IMEI、IMSI數據，是保障用戶的帳戶安全。

香港個人資料私隱專員公署表示，《個人資料(私隱)條例》並無域外法律效力，該署不會評論個別國家或司法管轄區的法例或規定。