从ZOOM个人信息安全事件浅谈视频会议软件的数据保护
2020-05-11
以下文章来源于关键基础设施安全应急响应中心 ,作者CII-SRC
关键基础设施安全应急响应中心
国家互联网应急中心下属机构,专门致力于国家关键信息基础设施的网络安全应急保障工作,开展相关领域的关键技术研究、安全事件通报与应急响应。
新型冠状病毒的全球爆发使得在线生活成为主流,在线视频会议软件ZOOM也基于其简单易操作、适用场景广及免费服务一跃成为当下最火爆的在线视频会议平台。但是近日ZOOM由于频频出现的个人信息安全问题被推上风口浪尖,陷入严重的信任危机,美国太空运输公司Space X与美国航空航天局(NASA)相继以ZOOM存在“严重的隐私和安全问题”为由禁止员工使用ZOOM。
本文拟从近期ZOOM面临的个人信息安全问题展开,提出疫情期间我国法律规范项下视频会议软件在不同适用场景下可能面临的数据保护问题,并提出相关建议,以期引起视频会议提供者和视频会议使用者就个人信息安全问题的思考与防范。
一、ZOOM个人信息安全问题概述
全球疫情下视频通讯软件ZOOM的突然火爆虽然吸引了大量的用户,但也使得其产品被放在显微镜下进行无限放大观察,由此被接连爆出的隐私和安全问题引发人们的强烈质疑。综合来看,ZOOM面临的隐私安全问题可以概括为以下几点:
1.私人音视频信息遭泄露引在线公开围观
ZOOM用户的私人音视频信息遭到大规模泄露。据华盛顿邮报报道,成千上万的私人ZOOM录像被视频会议的发起者上传至YouTube、Google等视频网站或视频云端的公开网页,任何人均可在线观看。这些私人录像不仅包括小型公司会议视频、可以清晰识别面部及声音特征的小学生网课,还有一对一的治疗方案、裸露音视频信息等。据外媒报道,前NSA 研究员Patrick Jackson发现,在默认命名规则下,他仅通过免费的搜索引擎就在开放的云存储空间中一次性搜索到15,000多个来自Zoom平台的视频。信息泄露数量之多,传播范围之广令人震惊。
2. “Zoom Bombing”事件频现招致骚扰冒犯
ZOOM视频会议经常受到不明人士的故意冒犯和骚扰。“Zoom Bombing”是指其他未被邀请的ZOOM用户突然闯入视频会议,并向与会者分享色情图片或冒犯性及破坏性内容的骚扰行为。例如疫情期间,利用视频会议软件进行远程授课成为教育常态,但是网络授课常会由于不明身份的闯入者分享色情图片、发表种族歧视言论等行为被迫中断,影响十分恶劣。除网络课堂外,办公会议、亲友聚会等场景也未能幸免,均不同程度受到不明人士的骚扰。
3.端到端加密危机引发安全质疑
ZOOM的数据机密方式并非绝对安全。ZOOM虽声称将对会议内容采取端对端加密方式(End-to-end encryption,E2EE),但在实际操作中,只是对部分文本信息和部分音频使用了端对端加密,而对于会议视频内容采取的加密方式为TLS(Transport Layer Security,传输层安全协议)。采用端到端加密和TLS加密方式的关键区别在于通讯系统提供者自己(ZOOM)是否能够访问被保护的内容,经过端到端加密方式处理后的音视频内容,除会议参加者外,包括ZOOM在内的所有第三方均不能访问和解密内容,但经过TLS加密方式处理后的数据,只能确保通信内容不被其他第三方访问,却并未排除ZOOM访问被保护数据的权限,音视频内容的安全性无法得到绝对保证。
4.未经用户同意共享数据引发安全忧虑
ZOOM未经用户同意与其他软件共享用户数据。ZOOM的IOS程序被曝正在通过使用Facebook的Graph API向Facebook发送分析数据,其中也包括了非Facebook用户的数据内容。ZOOM会在IOS应用程序打开时向Facebook发送用户使用的设备型号、所在城市、所在时区、所使用的运营商以及广告ID等可识别信息,但是由于ZOOM向Facebook发送的数据并未征得非Facebook账号用户的同意,且在ZOOM的个人信息政策中对于该种数据分享行为也并未明确提及与说明,导致用户对于ZOOM的个人信息安全保护产生了极大的质疑和不满。
二、中国法下视频会议软件可能面临的个人信息安全问题
作为通讯系统提供者,无论是凭借“疫情东风”瞬间火爆全球的ZOOM视频会议软件,还是我国同样广受欢迎的腾讯会议、钉钉、飞书等视频会议软件,其数据保护问题都不容忽视。上述ZOOM软件暴露出的个人信息安全问题,也是所有视频会议软件可能面临的数据合规风险。疫情期间我国法律规范项下视频会议软件在不同适用场景下可能面临如下法律问题:
1.在线教育
视频会议软件在疫情期间成为各校进行远程网络授课的首选途径。在网络授课过程中,由于受众群体多为不同年龄段的在校学生,不可避免的会涉及低龄学生的个人信息保护问题,尤其是儿童的网络个人信息保护问题。根据《儿童个人信息网络保护规定》的相关规定,儿童是指不满十四周岁的未成年人,网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则,且应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。在线网络教学中,学生群体包括此处所说的儿童,如何做好儿童信息的保护,如何在征得儿童监护人的同意下开展信息收集、使用等活动从而做到合法合规,是每个视频会议服务提供者需要重点考虑和不断完善的问题。
2.在线医疗
疫情的爆发同样使得医疗活动从线下转战线上,足不出户即可通过视频会议软件开展健康咨询和诊断活动。在远程问诊过程中,必然会涉及患者电子病例、传染病史等隐私诊疗数据及其保护问题。虽然我国已经在《互联网医院管理办法(试行)》和《远程医疗服务管理规范(试行)》中明确规定了各互联网医院或诊疗机构对于患者病历信息等的数据保护要求,患者的电子病历、过往病史等数据均属于个人敏感信息,一旦遭到泄露可能对患者本人造成严重的伤害。因此,作为媒介的视频会议服务提供者,在实践中应当制定对于该类数据的特殊保护体系,采取更加精准有效的保护措施,如可以考虑设立医疗专用隐私政策,对此类数据进行脱敏处理等。
3.在线办公
视频会议软件为各公司疫情期间远程办公提供了沟通协作的平台和桥梁。在线办公活动中,有如下问题值得关注:一是员工账户信息泄露风险。视频软件运营者将个人信息共享给第三方时,应当获得个人信息主体的明确授权;二是公司商业秘密的泄露风险。公司利用视频会议软件进行开会交流和传输重要商业文件如交易协议书等,均可能涉及到公司的商业秘密,一旦遭到泄露,视频会议服务提供者可能承担相应责任;三是跨国会议中个人信息出境与安全评估问题。根据《个人信息出境安全评估办法(征求意见稿)》,网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息,应当进行安全评估。那么通过视频会议软件举办跨国会议,其中是否涉及到个人信息出境,该类信息是否需要根据规定进行安全评估也值得视频会议服务提供者关注。同时,在跨境数据泄漏事件频发的情况下,建议我国尽快出台个人数据出境的相关办法和细则。
三、视频会议软件个人信息安全问题的建议
针对上文中提到的ZOOM个人信息安全问题及视频会议软件面临的数据保护问题,本文对视频会议提供者和视频会议使用者提出如下建议:
1.视频会议提供者
a)个人信息保护政策更新。视频会议提供者应当对照有关可能涉及数据保护的法律规范,列出合规清单,按照相关规定及时修改更新个人信息保护政策,做到合法合规。
b)保护技术提升。视频会议提供者应当加大投入进行技术更新与研发,提升数据保护的能力和水平,保证数据的安全性。
c)境外数据合规关注。除注重国内数据合规外,若视频会议提供者有境外业务,还应关注境外数据合规,尤其是《通用数据保护条例》(GDPR)与《加州消费者隐私保护法案》(CPAA)项下的数据合规。同时,在我国相关数据出境法律正式出台后,还要注意各国之间监管衔接问题,减少合规成本。
2.视频会议使用者
a)个人信息保护意识培养。视频会议使用者应当自觉提升个人信息保护意识,在利用视频会议软件时注重个人信息的保护,查看个人信息保护政策,尽量不要使用第三方社交账号登陆软件,减少可供访问的个人数据数量;在软件发出访问通讯录、访问定位等请求时,结合自己使用软件对应的功能做出合理的选择。若发现个人信息遭到泄露,建议及时进行维权处理。
b)选择高质量视频会议软件。在利用视频会议进行教学、医疗或办公等活动时,应选择隐私保护程度高、安全性能好的视频会议软件,对于包含重要信息的文件尽量不要通过视频会议软件平台进行传输,此外对于具有重大个人信息安全风险的视频会议软件也可以考虑尽快注销账户并卸载软件,确保个人信息安全。
本文作者:
王一楠,k8凯发天生赢家·一触即发北京办公室合伙人、律师;主要执业领域为数据保护、金融科技、电子商务、跨境投资和争议解决。受聘为网络安全应急技术国家工程实验室数据安全咨询专家。入选《亚洲法律杂志》(ALB)“2020中国15佳TMT律师”。
邮箱:wangyinan@cqhaolun.com
(实习生甄妮对本文亦有贡献)
声明:
本文由k8凯发天生赢家·一触即发律师事务所律师原创,仅代表作者本人观点,不得视为k8凯发天生赢家·一触即发律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。