抽獎要注意個人資料,做到私隱分隔
疫苗抽獎一籮籮,先不論利誘谷針的成效有多大,但香港人提交資料參加抽獎時,必須小心留意自己私隱,唔好見資料就填。例如有遊輪公司抽獎,要求參加者提供的個人資料包括:
- 身分證上的全名
- 香港身分證的整個號碼
- 電郵
- 電話
《明報》記者就曾於 2018 年,單憑身分證號碼及公開資料,成功取得林鄭月娥的詳盡信貸報告,包括其電話、地址、借貸及逾期還款紀錄等多項敏感資料。不過時至今天,林鄭月娥已被美國制裁,應該一世都不用擔心再有借貸記錄,但其他香港人還是要加倍小心。
每當漏洞曝光後,涉事機構才姍姍來遲地填補漏洞,但不同機構核實用戶身份的嚴謹程度不一,騙徒一直尋找把關力不足的機構來攻擊,所以用戶不應隨便透露身分證號碼,機構也不應該在沒有必要的情況下,隨便收集整個身分證號碼。
又例如全城最觸目的信和大抽獎,其網站要求參加者提供的資料包括身分證號碼及手機號碼,雖然沒有要求提供全名,但由於在 2021 年 4 月 Facebook 洩漏了全球 5.33 億用戶的資料,規模龐大,當中涉及 300 萬香港用戶,單憑用戶的電話號碼,便能追查到其 Facebook 的個人檔案,亦因此有可能查到當事人的全名及其他個人資料如生日資料,關係網等。
抽獎主辦單位收集個人資料一事,私隱專員公署也未必管得了,因為根據私隱專員就《個人資料(私隱)條例》第 12 條所發出的《身分證號碼及其他身分代號實務守則》的第 2.3.3.3,指出收集身分證號碼,如果其目的是「為避免對資料使用者造成損害或損失,而該損害或損失在有關情況下是超過輕微程度的」,便能當作符合相關規定。這次谷針抽獎部份禮品雖然抽中都未必想要,但有不少確實價值不菲,所以部份主辦方收集整個身份證號碼,未必有違《守則》。
即使主辦單位不會擅自挪用參加者的資料,但過往不少洩漏事件,多是人為疏忽。例如政府一直強調「安心出行」不會有私隱外洩問題,可是負責該應用程式的辦事處卻犯上極低能的低級錯誤,居然連電郵 BCC 功能都不懂用,在 2021 年 6 月疏忽地在一封電郵裡洩漏了近四百名用戶的電郵資料。所以就算主辦機構有意保護用戶私隱,萬一遇著一個像是「安心出行」辦事處那個令人不安心的員工,客戶資料依然可以外洩。
如果讀者打算參加抽獎,由於個人資料不可以寫假,那就只能從電話號碼入手,做到「私隱分隔」(privacy by compartmentalisation)。
有以下幾點建議。
一,留意網址的拼法與官方公佈的是否相同,小心假冒網址。
二,建議購買全新的電話卡用來參加抽獎,這類電話卡很便宜,一年支付幾十元港幣,在坊間有大量「低用量年卡」,選擇超多。用全新的電話號碼,萬一資料外洩,起碼歹徒不能單憑電話號碼關連到你 Facebook 的戶口。
三,購買儲值卡,建議要保留卡套(又叫外框、大卡),卡套上面有 ICCID 號碼,萬一要補領,必須提供這個證明。所謂墨菲定律,凡是可能出錯的事就一定會出錯,萬一中了樓但丟失了電話,起碼可以補領嘛。
四,由於 3 HK 的儲值卡補卡過程出名煎熬顧客,建議使用非 3 HK 的儲值卡,諸如 CSL、Lucky SIM 及 More Mobile(現代移動)等都是不錯的選擇,又或者直接去鴨寮街買。
五,電郵地址也不要使用常用地址,用一個轉發的地址(forwarder),例如 https://simplelogin.io,該網站提供免費的轉發地址。
六,Facebook 上不應該使用身份證上的全名,舊帖文起碼要隱藏至只有朋友可見(設置方法:設定與私隱 → 私隱設定檢查 → 誰可以看到你分享的內容 → 在「帖子和限時動態」選擇「限制舊帖子分享對象」)。
七,如果將來收到中獎通知,不要沖昏頭腦,主辦方應該不可能要求得獎者在電話裡提供額外資料,更不可能收取「得獎費」。小心求證,用常識判斷。
結論
給予接種疫苗獎賞,不是香港獨有,例如以色列政府聯同商家請客,打了疫苗免費享用薄餅、雪糕,又或咖啡、果汁,以色列的疫苗接種率有六成。反觀香港,送樓送機票,但成效依然有限,至今接種率只有人口四分一。其實如果香港政府敢承諾接種疫苗後能去集會,估計效果會更佳。
我自己早就接種了 BioNTech 疫苗,因為我傾向相信疫苗能帶給自己的保護。但打針這回事一向都是很個人的醫療決定,用任何威逼手段去打針,我不單覺得不合適,更覺反感。
對於已接種的人來說,我不會建議大家一刀切拒絕一切抽獎,只想提醒各位一句,填寫個人資料時必須慎重,不要見網就入,不要見獎就抽。香港警察辦事不力,香港的電話及網上騙案屢禁不止,香港人還是自求多福,自己私隱自己保障。
這次連環抽獎活動,之後引申的潛在問題肯定會較多,例如資料外洩,又或是騙徒趁機冒充中獎來電,理應預先作好提防。
作者 Patreon / Facebook / MeWe