
英國 ETA 申請唔止係旅遊手續:第三方代辦網站點樣放大護照外洩風險
香港特區護照要留意,BNO 護照例外更要分清楚

圖:TechCrunch.原文連結
去英國而家唔再只係買機票、訂酒店咁簡單。對用香港特區護照短期旅遊、探親或者公幹嘅人嚟講,英國 ETA 已經變成出發前要處理嘅數碼關卡;但真正高風險嘅位,往往唔係表格本身,而係你喺邊個網站交護照相、自撮相、地址、工作同付款資料。TechCrunch 最新報道指,一個名為 UK Visa Portal 嘅第三方網站,曾經令申請人上載嘅護照同自拍驗證相片公開可見,部分相片更包含拍攝地點定位資料。
呢件事唔應該被理解成官方 GOV.UK 系統外洩。TechCrunch 報道講得好清楚,UK Visa Portal 並非英國政府網站,而係第三方代辦服務;問題係,有人投訴自己以為用緊官方入口,結果向第三方付款同交文件。匿名通報者向 TechCrunch 聲稱,外洩文件至少有 100,000 份;TechCrunch 表示曾聯絡受影響人士核實資料真偽。不過截至 2026 年 5 月 27 日,呢個數字仍屬傳媒根據匿名通報整理出嚟嘅說法,唔係公司、UKVI 或監管機構正式確認嘅外洩規模。
唔係政府網站,但拎走嘅係最敏感資料
按 TechCrunch 嘅描述,外洩源頭係一個用作存放用家上載文件嘅 Amazon-hosted 儲存空間。報道指,雖然儲存空間未有直接列出所有檔案清單,但檔案本身曾經可被有相關地址嘅人檢視;通報者亦聲稱網站後台有問題,令檔案清單可以被見到。TechCrunch 最初因為資料性質太敏感,未公開可被濫用嘅具體細節,只交代有持續安全問題;其後報道更新指,資料喺 2026 年 5 月 27 日星期三前後被鎖回。網站管理層未有正面回應 TechCrunch 查詢,反而由律師同公關公司接觸傳媒,令受影響人士會否被通知、公司會否向監管機構通報,仍然係未解答問題。
護照同自拍驗證相唔同一般電郵地址外洩。護照頁面有姓名、出生日期、護照號碼、到期日、國籍等身份核心資料;自拍相則可以用作身份核對、社交工程,甚至配合其他外洩資料做詐騙。今次最值得香港用家留意嘅係定位資料:TechCrunch 指好多上載相片保留咗精確拍攝位置,部分足以推斷拍攝者住址。換句話講,一張為咗申請旅行授權而影嘅文件相,可能同時交出你身份、樣貌同住處三組資料;如果中間再經過一間保安水平未明嘅代辦網站,風險就唔只係俾貴咗服務費。
第三方代辦嘅問題唔止係收貴
電子簽證、ETA、ESTA 呢類網上入境授權,近年愈來愈常見,亦自然吸引咗大量代辦、廣告同搜尋引擎優化網站。第三方服務本身唔一定全部係詐騙:有啲可能真係幫人填表、整理文件、收服務費;但對一般短期旅客嚟講,最大問題係你要先信任多一個資料處理者。官方網站本來已經要收集護照、相片同付款資料,第三方一插入流程,就等於身份文件多咗一份副本、多咗一個儲存地方、多咗一套你無從審核嘅權限同刪除政策。
GOV.UK 官方 ETA 頁面已經明示,ETA 申請費用係 £20,其他網站可能收更多錢,亦提醒用家避免模仿政府服務嘅網站。申請頁亦寫明,經其他網站或 app 申請唔會令決定更快。實務上,香港用家可以用幾個簡單訊號先做篩選:
- 由
https://www.gov.uk/eta開始,唔好由搜尋廣告直接入表格。 - 按 GOV.UK 頁面嘅 Start now 或官方 app 連結去申請,唔好靠網站名似政府就信。
- 見到聲稱加急、保證批核、收費遠高於 £20、或者要你先 WhatsApp 文件,就應該停低再查。
- 下載 UK ETA app 時,要確認開發者係 Home Office,並由 GOV.UK 指向嘅 App Store 或 Google Play 連結進入。
香港用家最易混淆:特區護照要 ETA,BNO 護照唔同
香港角度最重要係分清楚你用邊本護照出行。GOV.UK 最新 ETA 國籍名單列出 Hong Kong Special Administrative Region,即係用香港特區護照短期去英國、Jersey、Guernsey 或 Isle of Man 嘅旅客,通常可以申請 ETA;ETA 批出後會連繫到申請時用嗰本護照。GOV.UK 同時列明,如果你係持 British National (Overseas) 護照出行,就唔需要 ETA 或簽證去英國短期訪問。呢點好容易被第三方網站或者搜尋結果混淆,尤其一家人可能有人用特區護照、有人用 BNO 護照、有人有英國或愛爾蘭身份,實際要求未必一樣。
呢篇唔係簽證法律意見;複雜情況例如雙重國籍、長住、工作、讀書、過境、已有英國簽證或居留許可,都應該由 GOV.UK 查核或者問 UKVI/合資格專業人士。對一般香港旅客而言,較穩陣嘅做法係:先用 GOV.UK check visa/ETA 工具確認自己所需文件,再由 GOV.UK ETA 頁面進入申請流程;如果用 app,GOV.UK 指引話 app 會用手機相機影護照、掃護照晶片、掃臉同拍攝面部相片,之後再回答地址、工作、其他國籍同刑事紀錄等問題。呢啲資料敏感度好高,唔應該為咗省幾分鐘而交畀來源唔清楚嘅網站。
相片定位資料係今次最容易忽略一環
好多香港人影文件相時會喺屋企、公司、酒店房或者屋苑會所搵白牆,覺得只要相片清晰就可以。問題係手機相機如果有位置權限,相片檔案可能附帶 GPS 座標;上載去代辦網站、電郵畀代理、或者放入某啲雲端相簿再分享,接收方未必只收到畫面本身。Apple 官方安全指引已經提醒,相片同影片嘅位置 metadata 可能透露拍攝地點;Google Photos 說明亦提到,相片位置可能由相機提供,分享時要留意位置資料是否一併分享。今次報道所講嘅定位資料,就係呢類平時最易被忽視、但一外洩就好難補救嘅資料。
如果要上載護照相或面部相,最好即場用官方 app 拍攝,或者用一張已檢查過 metadata 嘅新相。iPhone 可以喺相片資訊入面檢查同移除位置,亦可以喺分享前關閉位置資料;Android 不同品牌介面有別,但可以由相機 app 權限或相簿詳情檢查位置資訊。更保守嘅做法係,影文件相前先暫時關閉相機定位,完成申請後刪除唔需要嘅本地副本同聊天紀錄。唔好單靠即時通訊 app 壓縮相片當成安全處理,因為唔同 app、唔同分享方式對 metadata 嘅保留方式可以唔同。
官方 app 都會收資料,但風險邏輯唔同
用官方渠道唔等於完全無私隱代價。GOV.UK ETA 私隱通知列明,Home Office 會處理 ETA 申請同查詢 ETA 服務涉及嘅個人資料;面部生物特徵資料一般保留 3 年,個人同基本身份資料按簽證保留期可保留 15 年,而 mobile app 成功提交後唔會保留資料。呢啲安排可以批評、可以監察,但至少有清楚官方責任、法律基礎同私隱通知。第三方網站最大分別係,佢可能同時持有你交畀政府前嘅同一批資料,但你未必知道資料存放喺邊、幾耐刪除、邊個員工有權存取、發生事故時會唔會通知你。
監管層面亦要分開睇。ICO 嘅個人資料外洩指引講明,機構要評估對個人權利同自由嘅風險;若風險可能存在,通常要盡快並可行情況下 72 小時內通知 ICO,若對個人風險高,亦要通知受影響人士。TechCrunch 報道暫時未交代 UK Visa Portal 有無向 ICO、UKVI 或其他監管機構通報,亦未見公司管理層公開解釋成因、影響人數、存取紀錄同補救安排。對已經用過相關第三方網站嘅人,現階段較實際係保存付款紀錄同確認電郵、留意可疑電郵/短訊、監察信用卡交易,並避免再向聲稱可幫你追回資料嘅陌生人提供更多身份文件。
公司 IT team 同常出差人士要有固定流程
對成日安排員工去英國開會、展覽或者探廠嘅公司,呢件事唔應該只當成旅行小貼士。公司 IT team 或行政同事應該建立一頁內部指引,列明官方 GOV.UK ETA 入口、官方 app 下載方法、公司會報銷嘅官方費用、以及禁止把護照相經 WhatsApp 群組或私人雲端連結傳來傳去。若由秘書或同事代申請,亦應該用最少資料原則處理:用完即刪、限制存取、唔好將文件長期放喺共用 Drive,並記錄邊個處理過邊位員工嘅身份文件。
今次事件真正嘅教訓唔係「所有代辦都一定有問題」,而係身份文件一旦數碼化,就唔再只係你手上一本護照。每多一個網站、每多一次上載、每多一個相簿分享連結,都係多一個外洩面。香港人去英國嘅 ETA 需求會愈來愈日常,越日常越容易貪快;但對護照、自撮驗證相同住址定位嚟講,最安全嘅流程反而應該越單純越好:由 GOV.UK 開始,用官方 app 或官方網頁完成,交最少副本,申請後清理殘留檔案,並定期重查官方要求有無更新。
參考來源
- TechCrunch — UK Visa Portal exposed thousands of applicants’ passports and selfies — then called the lawyers on us — original report
- GOV.UK: Get an electronic travel authorisation (ETA) to visit the UK — 官方 ETA 入口,確認 £20 收費、官方申請路徑,以及避免模仿政府服務網站嘅提醒。
- GOV.UK: Check if you can get an electronic travel authorisation (ETA) — 官方國籍名單,確認 Hong Kong Special Administrative Region 已列入可申請 ETA 名單。
- GOV.UK: When you do not need an ETA — 官方例外清單,確認持 British National (Overseas) 護照出行唔需要 ETA。
- GOV.UK: Using the 'UK ETA' app — 官方 app 使用指引,確認要用相機影護照、掃護照晶片、掃臉同拍攝面部相片。
- GOV.UK: Electronic travel authorisation privacy information notice — 官方私隱通知,提供 ETA 個人資料、生物特徵資料保留期同 mobile app 提交後資料處理說明。
- ICO: UK GDPR data breach reporting — 英國監管機構對個人資料外洩通報、72 小時要求同通知受影響人士嘅一般框架。
- Apple Support: Manage location metadata in Photos — 相片定位 metadata 風險同移除位置資料嘅官方指引,用作補充上載身份相片前嘅安全建議。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







