Zoom在2020年4月頻繁登上數據泄露新聞��,共有四起安全和隱私相關事件被媒體爆出:先是擅自將用戶數據通過SDK(軟件開發工具包)共享給Facebook(“SDK共享信息事件”)�����;後又因用戶分組功能的缺陷�����,把用戶郵箱地址�����、頭像暴露給使用同一郵箱域名的其他陌生用戶(“用戶分組事件”)�;又被發現有一萬五千多個Zoom用戶會議視頻在亞馬遜雲服務器上處於公開可瀏覽狀態(“視頻泄露事件”)����;還被黑客撞庫攻擊�����,使黑客獲取了五十多萬個Zoom賬戶的賬戶名和密碼(“黑客撞庫事件”)。正如媒體所評論的�����,新冠疫情期間用戶量和股價都猛漲的Zoom正在被全球的黑客放在顯微鏡下找漏洞。
自2020年1月新冠疫情在全球爆發以來���,由於疫情波及範圍廣����、持續時間長��,對正常的商業運營造成嚴重影響。在這種特殊的背景下�����,遠程辦公�,如在線會議�����、即時通信���、文檔協作�����、基於功能擴展模塊實現的協同辦公等[1]�����,成為企業在疫情期間的剛需��,但並非所有企業�,包括遠程辦公產品和服務的供應商�,已經準備好應對激增的流量。Zoom發生的上述每個事件都折射出企業在遠程辦公場景下在網絡安全和數據保護方麵需要關注的問題。
1. 對SDK的管理
Zoom的SDK共享信息事件反映出SDK接入的安全風險����,值得企業關注。
按照我國2020年修訂的《信息安全技術 個人信息安全規範》(GB/T 35273—2020��,“《個人信息安全規範》”)�����,不同主體就數據處理的關係一般可分為第三方接入��、共同控製�����、共享���、委托處理等���,而第三方接入是《個人信息安全規範》與2017版《個人信息安全規範》(GB/T 35273-2017)相比新增加的內容。“第三方接入”是指個人信息控製者在其產品或服務中接入具備收集個人信息功能的第三方產品或服務��,但與第三方不屬於委托處理或共同控製關係。
SDK開發者和APP開發者在不同場景下在收集階段的關係如下表所示:
場 景 | 是否征得個人信息主體同意 | SDK開發者和App開發者的關係 |
SDK直接收集個人信息(不通過App共享) | SDK單獨征得個人信息主體的同意 | 第三方接入 |
SDK未單獨征得個人信息主體的同意[2] | 共同控製 |
SDK間接收集個人信息(通過App共享) | 除非超出已獲得的授權同意範圍�����,否則SDK無需單獨征得個人信息主體的同意 | 共享 |
SDK本身不收集個人信息��,僅幫助App收集個人信息 | SDK無需單獨征得個人信息主體的同意 | 視合同確定是委托處理還是僅由App開發者作為控製者 |
基於主體之間的特定關係�,《個人信息安全規範》對各主體就個人信息保護應承擔的責任作出不同規定。如果企業使用自主開發的App提供遠程辦公產品或服務或用於自身開展業務��,建議企業根據所使用的SDK的功能和特性確定自身與SDK開發者的關係����,並有針對性地對SDK采取管理措施���,例如�����,開展個人信息安全影響評估���,與SDK開發者通過合同明確約定各方安全責任����,對SDK的運行進行必要的監督���、管控等。
2. 網絡安全和數據安全能力
在Zoom的視頻泄露事件中��,部分會議主持人將會議視頻上傳到雲端並不設置訪問密碼固然是相關視頻和個人信息泄露的主要原因��,但Zoom在功能設計方麵存在的漏洞也使其難辭其咎。Zoom允許會議主持人錄製會議視頻並將視頻下載到本地���,其中涉及個人信息的處理。雖然Zoomzaiqiyinsizhengcezhongbiaoming�,luzhihuiyizheyigongnengjinnenggouzaicanhuizhedianjidanchuangdetongyianniuhoufangkekaiqi����,dangenjuxinwenbaodaoyijiwomendeshiyong����,faxianzhishaozhongwenbanbingweishixianzheyigongneng。zhengyinruci�,zhidaohuiyishipinbeigongkai����,henduodangshirencaizhidaozijideshengyin�、形象等個人信息被記錄下來。此外��,Zoom對視頻文件的命名方式過於簡單����,也導致了相關視頻可以在網上被輕易搜索到����,從而增加了個人信息被泄露的風險。
同樣地���,Zoom的用戶分組事件和黑客撞庫事件也都暴露出Zoom在產品功能設計和安全保障措施方麵的漏洞���,而這些漏洞本可通過采取技術手段(例如��,添加圖片驗證碼��,IP分析�����、訪問分析等用戶行為分析)或通過采購專門的安全服務等方式進行彌補。
根據我國《網絡安全法》相關規定����,網絡運營者應當按照網絡安全等級保護製度的要求���,履行網絡安全保護義務����,保障網絡免受幹擾����、破壞或者未經授權的訪問����,防止網絡數據泄露或者被竊取�、篡改���;網絡產品��、服務的提供者應當為其產品�����、服務持續提供安全維護��;在個人信息安全方麵����,網絡運營者應當采取技術措施和其他必要措施�����,確保其收集的個人信息安全�,防止信息泄露��、毀損���、丟失[3]。
《個人信息安全規範》jiukongzhizhedegerenxinxianquannenglitichugengjiajutideyaoqiu��,liru��,kaifajuyouchuligerenxinxigongnengdechanpinhuofuwushi��,gerenxinxikongzhizheyigenjuguojiayouguanbiaozhunzaixuqiu���、設計��、開發�����、測試�、發布等係統工程階段考慮個人信息保護要求���,保證在係統建設時對個人信息保護措施同步規劃�、同步建設和同步使用����;在產品或服務發布前�����,業務功能發生重大變化時�����,法律法規有新的要求時��,業務模式�����、信息係統����、運行環境發生重大變更時��,或發生重大個人信息安全事件時�,應進行個人信息安全影響評估�;此外�����,個人信息控製者還應根據有關國家標準的要求�����,建立適當的數據安全能力����,落實必要的管理和技術措施��,防止個人信息的泄漏���、損毀�、丟失��、篡改[4]。
上述要求並不僅僅體現在中國的法律和國家標準中�����,實際上��,其他國家和地區有關網絡安全和數據保護的法律也有類似規定。以歐盟《通用數據保護條例》(“GDPR”)為例�,GDPR即明確要求控製者應采取技術和組織措施以確保個人數據處理活動的安全[5]。因yin此ci��,提ti供gong遠yuan程cheng辦ban公gong產chan品pin或huo服fu務wu的de企qi業ye有you必bi要yao按an照zhao所suo適shi用yong國guo家jia或huo地di區qu的de相xiang關guan法fa律lv規gui定ding���,完wan善shan產chan品pin功gong能neng設she計ji並bing采cai取qu適shi當dang措cuo施shi加jia強qiang自zi身shen的de網wang絡luo安an全quan和he數shu據ju安an全quan能neng力li。
3. 對用戶的管理
在使用Zoom視(shi)頻(pin)會(hui)議(yi)時(shi)����,主(zhu)持(chi)人(ren)可(ke)以(yi)錄(lu)製(zhi)會(hui)議(yi)視(shi)頻(pin)��,而(er)這(zhe)一(yi)操(cao)作(zuo)使(shi)其(qi)成(cheng)為(wei)個(ge)人(ren)信(xin)息(xi)的(de)控(kong)製(zhi)者(zhe)�����,其(qi)收(shou)集(ji)其(qi)他(ta)參(can)會(hui)者(zhe)個(ge)人(ren)信(xin)息(xi)的(de)行(xing)為(wei)應(ying)征(zheng)得(de)其(qi)他(ta)參(can)會(hui)者(zhe)的(de)同(tong)意(yi)並(bing)應(ying)以(yi)安(an)全(quan)的(de)方(fang)式(shi)上(shang)傳(chuan)到(dao)可(ke)信(xin)的(de)雲(yun)端(duan)服(fu)務(wu)器(qi)。但(dan)大(da)多(duo)數(shu)用(yong)戶(hu)並(bing)未(wei)意(yi)識(shi)到(dao)自(zi)己(ji)可(ke)能(neng)成(cheng)為(wei)個(ge)人(ren)信(xin)息(xi)的(de)控(kong)製(zhi)者(zhe)甚(shen)至(zhi)已(yi)經(jing)侵(qin)犯(fan)到(dao)他(ta)人(ren)的(de)合(he)法(fa)權(quan)益(yi)����,更(geng)遑(huang)論(lun)履(lv)行(xing)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)義(yi)務(wu)。
從cong控kong製zhi風feng險xian的de角jiao度du�����,我wo們men建jian議yi提ti供gong遠yuan程cheng辦ban公gong產chan品pin或huo服fu務wu的de企qi業ye除chu需xu要yao在zai與yu用yong戶hu的de協xie議yi中zhong明ming確que劃hua分fen雙shuang方fang責ze任ren外wai�����,還hai有you必bi要yao通tong過guo技ji術shu措cuo施shi對dui用yong戶hu(特別是視頻會議的主持人)進行管理��,例如����,以會議主持人點擊“錄製視頻”dedongzuochufaxiangzhuchirenheqitacanhuizhedeshuangxiangdanchuangtishi���,zhongshengerenxinxibaohuzhuyishixiangheyonghukenengchengdandefalvzeren��,bingduizhenggetishiguochengjinxingjilu。
4. 響應及應急處置能力
據媒體報道�����,Zoom的用戶分組事件發生後��,用戶如果要求退出分組��,需要與Zoom客服聯係並需要等待較長的處理時間�����,暴露出Zoom響應用戶要求和安全事件應急處置能力的不足。
針對個人信息主體的權利請求�,在中國�,《個人信息安全規範》將控製者的響應時間限定在30天內[6]�����,《App違法違規收集使用個人信息行為認定方法》則要求App運營者在15個工作日內完成處理[7]���;歐盟GDPR則將響應期限規定為1個月並允許在必要情況下再延長2個月[8]。
在發生網絡安全或數據安全事件時���,我國《網絡安全法》規定��,網絡產品��、服務的提供者發現其網絡產品��、服務存在安全缺陷�����、漏洞等風險時��,應當立即采取補救措施�,按照規定及時告知用戶並向有關主管部門報告��;網絡運營者應當製定網絡安全事件應急預案��,及時處置安全風險��;在發生網絡安全事件時���,立即啟動應急預案�����,采取相應的補救措施����,並按照規定向有關主管部門報告��;在發生或者可能發生個人信息泄露等情況時����,應當立即采取補救措施����,按照規定及時告知用戶並向有關主管部門報告[9]。《個人信息安全規範》也(ye)要(yao)求(qiu)控(kong)製(zhi)者(zhe)製(zhi)定(ding)並(bing)及(ji)時(shi)更(geng)新(xin)個(ge)人(ren)信(xin)息(xi)安(an)全(quan)事(shi)件(jian)應(ying)急(ji)預(yu)案(an)�����,定(ding)期(qi)組(zu)織(zhi)內(nei)部(bu)相(xiang)關(guan)人(ren)員(yuan)進(jin)行(xing)應(ying)急(ji)響(xiang)應(ying)培(pei)訓(xun)和(he)應(ying)急(ji)演(yan)練(lian)����,並(bing)在(zai)發(fa)生(sheng)個(ge)人(ren)信(xin)息(xi)安(an)全(quan)事(shi)件(jian)後(hou)根(gen)據(ju)應(ying)急(ji)響(xiang)應(ying)預(yu)案(an)進(jin)行(xing)相(xiang)應(ying)處(chu)置(zhi)[10]。GDPR則明確要求控製者在發現個人數據泄漏事故起72小時內通知監管機構並及時通告數據主體[11]。
5. 對遠程辦公產品和服務使用方的建議
為規範遠程辦公中企業的安全防護手段�,全國信息安全標準化技術委員會於2020年3月發布了《網絡安全標準實踐指南—遠程辦公安全防護》���,其中不僅從遠程辦公的組織者(即使用遠程辦公係統的政府部門�����、科研機構�����、企事業單位等)角度�,就遠程辦公應采取的安全措施提出了管理要求和技術要求���,還從遠程辦公的參與者(即使用遠程辦公係統的個人)角度�,從設備安全��、數據安全����、環境安全�、安全意識等方麵提出建議。
新冠疫情對社會經濟�、生活的影響是巨大且深遠的��,遠程辦公可能將在很長一段時間內成為企業運營和內��、waigoutongdezhuyaomoshi�,shenzhizaiyiqingguohouchengweichangtai。zaizhezhonghuanjingxia�����,womenjianyiqiyezaiwangluoheshujuanquanchangguibiaozhundejichushang��,cankaoshangshuzhinanhuoleisiguifandeneirong�,jishigengxinbaokuoyuangongshouce�、shujuanquanguifandengzaineideguanlizhidu�����,buchongyuanchengbangonganquanzhuyishixiang���,tongshijiaqiangyuangongpeixun�,tigaoyuangongdeanquanyishi���,zuohaoyuanchengbangongmoshixiadeanquanfangfangongzuo。
注釋:
[1] 《網絡安全標準實踐指南—遠程辦公安全防護》(TC260-PG-20201A, v1.0-202003)“三�����、遠程辦公典型場景”。
[2] 《個人信息安全規範》9.6注:“如個人信息控製者在提供產品或服務的過程中部署了收集個人信息的第三方插件(例如��,網站經營者與在其網頁或應用程序中部署統計分析工具����、軟件開發工具包 SDK�����、調用地圖 API 接口)��,且qie該gai第di三san方fang並bing未wei單dan獨du向xiang個ge人ren信xin息xi主zhu體ti征zheng得de收shou集ji個ge人ren信xin息xi的de授shou權quan同tong意yi����,則ze個ge人ren信xin息xi控kong製zhi者zhe與yu該gai第di三san方fang在zai個ge人ren信xin息xi收shou集ji階jie段duan為wei共gong同tong個ge人ren信xin息xi控kong製zhi者zhe。”
[3] 《網絡安全法》第二十一��、二十二�、四十二條。
[4] 《個人信息安全規範》11.2���、11.4���、11.5。
[5] GDRP第32條。
[6] 《個人信息安全規範》8.7。
[7] 《App違法違規收集使用個人信息行為認定方法》第六條。
[8] GDPR第12條。
[9] 《網絡安全法》第二十二����、二十五��、四十二條。
[10] 2020版《個人信息安全規範》10.1。
[11] GDPR第33條。
