【本報訊】對於陸續有學校轉用AlipayHK(支付寶香港)作為收費方式,不少家長表示擔心個人資料被存取,希望學校可提供多於一項的選擇。為了解AlipayHK會否存取用戶的敏感資料,本報下載該應用程式,發現會被存取用戶的手機狀態及識別碼,即可取得用戶國際移動設備識別碼(IMEI)、國際移動用戶識別碼(IMSI)、SIM卡編碼(ICCID)、電話號碼及通話狀態等敏感資料。
香港互聯網協會網絡保安及私隱小組召集人楊和生表示,以上識別碼是手機獨一無二的編碼,屬敏感資料。縱使用戶沒有上載身份證作中級認證,AlipayHK亦有機會間接從電訊商得知用戶身份,「呢啲號碼調返轉頭有機會追蹤到呢個人係邊個。」
下載AlipayHK後,用戶會收到通知將被使用電話權限,但不會讀取通訊錄訊息,若啟動手機定位會讀取用戶位置,以提供所在地的生活服務資訊;然後,會要求允許三項權限,包括撥打並管理手機通話、存取裝置上所有媒體和檔案、存取此裝置的位置,用戶可選擇拒絕,但有機會無法繼續運作。登入後,用戶必須以手機電話號碼註冊,但註冊前須允許權限才可繼續使用。
AlipayHK回應稱,存取手機狀態及識別碼是驗證使用者是否為賬戶持有人,純粹為保障賬戶安全,防止詐騙。例如用IMEI(手機序號)來判斷賬戶有否被他人在其他手機登錄,提示用戶是否需要重新登錄以確認身份,從而保障用戶的利益。