消委會實試5款垃圾電話攔截App功能｜有攔截程式竟然令通訊錄被公開

是次調查參考了 2 個手機應用程式商店的排行榜，以及第三方市場分析報告，抽取較多本港消費者使用的 5 款垃圾電話攔截程式作調查對象，分別CallApp、小熊來電Call Dedender、芝麻來電JimaCaller、Truecaller及Whoscall，並以實試方式進行，分別從服務條款、私隱政策、網站及網上客服等渠道取得相關資料。除當中 2 款未有回覆消委會查詢外，其餘資料均已獲得商戶核實。

消委會實試5款程式，都發現其功能相近，基本上可滿足攔截垃圾電話的需求。Android 版本普遍較 iOS 版本擁有較多功能，例如可攔截無來電顯示電話或境外來電等。芝麻來電JimaCaller、小熊來電Call Dedender及Whoscall，都嵌入了本地非應邀來電回報網站的資料庫，其預設的白名單在用戶收到醫院、大學、政府部門等機構來電時會顯示身分提示，避免用戶因拒絕接聽來電而錯失重要資訊。

此外，CallApp、Truecaller及Whoscall的 Android 版本設有標記垃圾短訊及識別即時通訊軟件聯絡人等進階功能，惟啟用這些功能或意味着用戶需給予更多存取權限，例如容許程式查閱手機內所有短訊內容和通知等，當中可能涉及由銀行發出的一次性密碼，大家就需要更小心考慮風險。
 

在 5 款程式中，CallApp及Truecaller都規定用戶必須註冊帳戶方能使用，另外小熊來電Call Dedender的Android 版本亦有同樣要求。用戶一般可選擇以電郵地址、電話號碼或登入Facebook 或 Google 等第三方帳戶進行註冊。

若選擇透過 Facebook 註冊，CallApp會索取多達 8 項個人資料，包括姓名、個人頭像、電郵地址、出生日期、相片、影片、朋友名單以及生活時報連結。
 

為識別聯絡人的來電，大部分垃圾電話攔截程式均需存取用戶通訊錄。除了芝麻來電JimaCaller不會讀取通訊錄，以及小熊來電Call Dedender的Android版預設毋須存取通訊錄外，其餘程式的Android 版本一般都要求索取有關權限。

在消委會的調查發現，CallApp在存取用戶通訊錄後，會自動將所有聯絡人的資料上載和整合到商戶的資料庫內，供其他用戶「反向搜索」，只需輸入電話號碼即可追溯到號碼持有人的名字及查閱其個人資料，包括中英文姓名、電郵地址或社交媒體連結等。

換句話說，用戶在通訊錄中儲存的親友電話號碼，而在使用該程式時同意被讀取通訊錄，即使他們本身從未下載或批准該程式使用其個人資料，其資料亦會被取用和上載！該款程式的私隱政策表示，假如用戶容許商戶收集屬於他人的資料，應告知其通訊錄上的聯絡人和其他人士有關商戶會收集和分享其資料的做法，以及引導他們參閱其私隱政策和服務條款。不過消委會指出，如此等同把商戶擷取通訊錄的責任強加於用戶身上，有關要求不合理而且不可行。

另外Truecaller款程式同樣會以類似方式取用及上載用戶的通訊錄，不過只限於在程式官方網站下載檔案（如 APK 檔）及安裝程式，並啟用「強化搜尋」功能才會出現相關情況，但如果從App Store或Google Play下載，則不會有如此情況。

消委會作出幾項建議，提醒大家使用垃圾電話攔截App，要留意的事情：

• 使用攔截程式前宜細閱其服務條款和私隱政策，並評估攔截程式是否可信、所索取的權限是否與其功能相稱和合理；
• 定期更新攔截程式及其資料庫，確保擁有最佳的攔截效能；
• 主動回報垃圾來電，以助程式識別和阻擋最新的促銷與詐騙來電；
• 若發現個人資料被程式上載及供公開搜索，應要求商戶將其刪除，並緊記在發送除名要求時，在電話號碼前輸入所屬區號；
• 留意付費計劃是否預設自動續訂，並緊記移除程式並不等於取消訂閱。若不希望繼續付費，需於訂閱期或試用期結束前的指定時間內（通常為 24 小時前），於應用程式商店的相關頁面取消訂閱；
• 考慮為家中長者的電話裝設合適的攔截程式，並不時檢視條款及更新，協助他們防範詐騙電話。