日期: 2020年5月1日
公署回应传媒查询有关视像会议软件Zoom的资料保安议题
就 贵报查询有关视像会议软件Zoom的资料保安议题,香港个人资料私隐专员公署(私隐公署)现就《个人资料(私隐)条例》(《私隐条例》)的相关内容回复如下:
问题
「
-
有没有接获关于Zoom安全漏洞事故(例如资料外洩)的投诉个案?如有,可否告知个案数量?
-
如果Zoom用户怀疑个人资料外洩,可否向私隐专员公署通报?私隐专员公署在什么情况下会进行起诉?
-
私隐专员公署有没有向Zoom或其代理商就安全漏洞事宜联络?
-
如果用户遇上「Zoombombing」(如近日中文大学使用zoom遭黑客入侵会议),会否有资料外洩风险?用户可否向私隐专员公署求助?」
答:问题1
-
由2020年1月1日截至2020年4月29日(星期三)下午5时为止,私隐公署并没有收到有关使用 Zoom 的投诉。
答:问题2及4
-
任何人士如怀疑个人资料私隐受到侵犯,而又能提供表面证据,可以向私隐公署提出投诉。私隐公署收到投诉后,会按法例和既定机制跟进。
-
私隐公署留意到,Zoom的总部设于美国[1],在世界不同地方设有数据中心,而香港是 Zoom 提供 9 个地区作会议或网上研讨会数据发送点的选项之一[2],但在香港并不设办事处。
答:问题3
-
现时未有收到有关使用Zoom的投诉;私隐公署现时未有联络Zoom或其在香港的代理商,但一直密切留意事态的发展。
-
私隐专员留意到,Zoom的原先设计并非给用家进行涉及机密或高度敏感资料的视像会议。
-
无论如何,私隐专员早前已就Zoom的资料保安问题发出新闻稿及接受多次传媒访问,并就此于社交媒体发出有关指引。
-
私隐专员亦从传媒报道得悉,Zoom最近就有关私隐问题再作公开回应并作出进一步补救措施,当中包括:
-
增强会议主持人控制权限:会议主持人可以透过安全标志向 Zoom「举报用户」,还可以禁止与会者更改名称,避免Zoombombing的情况发生;对于教育团体的帐户,萤幕分享功能将预设为仅限主持人使用;
-
预设开启会议室密码与其复杂度:帐户管理员可以设定密码的复杂性,例如对于密码的长度、字母、数字、特殊符号等要求,也能避免类似 Zoombombing的状况发生;
-
选择数据中心的所在地:帐户管理员可以在帐户、群组或不同类型用户等级中,依权限选择欲透过哪些特定区域的数据中心来处理即时线上会议的资料。
-
私隐专员一直倡议,采取「贯彻私隐设计」(Privacy by Design)及「预设私隐」(Privacy by Default)模式作为企业的核心考虑因素,以及资讯科技发展商在开发新产品时的首要考虑。
背景资料
-
用家尤其是主持Zoom视像会议的一方,使用Zoom时应参考下列有关资料保安的实用指引:
-
在会议或课程开始之前使用虚拟等候室功能,对所有会议参与者进行「强制检疫」(身份验证);
-
使用一个专门用于该会议的会议登入帐号。 不同的会议应使用不同的登入帐号;
-
设置密码供加入会议用,密码须单独发送,并仅提供予与会者;
-
当所有人已进入会议,启动「锁上会议」(Lock Meeting)功能,避免无关人士进入会议;
-
仅允许会议主持人共享屏幕,并只在有需要的情况下才在会议期间共享屏幕;
-
关闭文件传输功能,以避免任何人发送带有病毒或恶意软件的文件;
-
确保所有设备均安装了最新的保安修补程式和防毒软件,并受到防火墙的保护;及
-
确保网络连接安全可靠(例如切勿使用公共Wi-Fi,并对Wi-Fi网络设置加密)。
-
自Zoom资料保安事故发生以来,香港个人资料私隐专员公署一直非常重视为Zoom和其他视像会议软件用户以及学校和家长提供及时的指引,并透过以下渠道发布:
-
2020年4月7日:商业电台881节目《在晴朗的一天出发》访问
-
2020年4月3日:香港电台第三台节目”Hong Kong Today”访问
[1] Zoom的总部位于美国加州圣荷西,在纳斯达克上市,并在美国、英国、法国、荷兰、澳洲和日本设有办事处。
[2] 该9 个地区分别为美国、加拿大、欧洲、印度、澳洲、中国内地、拉丁美洲、日本及香港。