日期: 2020年5月1日
公署回應傳媒查詢有關視像會議軟件Zoom的資料保安議題
就 貴報查詢有關視像會議軟件Zoom的資料保安議題,香港個人資料私隱專員公署(私隱公署)現就《個人資料(私隱)條例》(《私隱條例》)的相關內容回覆如下:
問題
「
-
有沒有接獲關於Zoom安全漏洞事故(例如資料外洩)的投訴個案?如有,可否告知個案數量?
-
如果Zoom用戶懷疑個人資料外洩,可否向私隱專員公署通報?私隱專員公署在什麼情況下會進行起訴?
-
私隱專員公署有沒有向Zoom或其代理商就安全漏洞事宜聯絡?
-
如果用戶遇上「Zoombombing」(如近日中文大學使用zoom遭黑客入侵會議),會否有資料外洩風險?用戶可否向私隱專員公署求助?」
答:問題1
-
由2020年1月1日截至2020年4月29日(星期三)下午5時為止,私隱公署並沒有收到有關使用 Zoom 的投訴。
答:問題2及4
-
任何人士如懷疑個人資料私隱受到侵犯,而又能提供表面證據,可以向私隱公署提出投訴。私隱公署收到投訴後,會按法例和既定機制跟進。
-
私隱公署留意到,Zoom的總部設於美國[1],在世界不同地方設有數據中心,而香港是 Zoom 提供 9 個地區作會議或網上研討會數據發送點的選項之一[2],但在香港並不設辦事處。
答:問題3
-
現時未有收到有關使用Zoom的投訴;私隱公署現時未有聯絡Zoom或其在香港的代理商,但一直密切留意事態的發展。
-
私隱專員留意到,Zoom的原先設計並非給用家進行涉及機密或高度敏感資料的視像會議。
-
無論如何,私隱專員早前已就Zoom的資料保安問題發出新聞稿及接受多次傳媒訪問,並就此於社交媒體發出有關指引。
-
私隱專員亦從傳媒報道得悉,Zoom最近就有關私隱問題再作公開回應並作出進一步補救措施,當中包括:
-
增強會議主持人控制權限:會議主持人可以透過安全標誌向 Zoom「舉報用戶」,還可以禁止與會者更改名稱,避免Zoombombing的情況發生;對於教育團體的帳戶,螢幕分享功能將預設為僅限主持人使用;
-
預設開啟會議室密碼與其複雜度:帳戶管理員可以設定密碼的複雜性,例如對於密碼的長度、字母、數字、特殊符號等要求,也能避免類似 Zoombombing的狀況發生;
-
選擇數據中心的所在地:帳戶管理員可以在帳戶、群組或不同類型用戶等級中,依權限選擇欲透過哪些特定區域的數據中心來處理即時線上會議的資料。
-
私隱專員一直倡議,採取「貫徹私隱設計」(Privacy by Design)及「預設私隱」(Privacy by Default)模式作為企業的核心考慮因素,以及資訊科技發展商在開發新產品時的首要考慮。
背景資料
-
用家尤其是主持Zoom視像會議的一方,使用Zoom時應參考下列有關資料保安的實用指引:
-
在會議或課程開始之前使用虛擬等候室功能,對所有會議參與者進行「強制檢疫」(身份驗證);
-
使用一個專門用於該會議的會議登入帳號。 不同的會議應使用不同的登入帳號;
-
設置密碼供加入會議用,密碼須單獨發送,並僅提供予與會者;
-
當所有人已進入會議,啟動「鎖上會議」(Lock Meeting)功能,避免無關人士進入會議;
-
僅允許會議主持人共享屏幕,並只在有需要的情況下才在會議期間共享屏幕;
-
關閉文件傳輸功能,以避免任何人發送帶有病毒或惡意軟件的文件;
-
確保所有設備均安裝了最新的保安修補程式和防毒軟件,並受到防火牆的保護;及
-
確保網絡連接安全可靠(例如切勿使用公共Wi-Fi,並對Wi-Fi網絡設置加密)。
-
自Zoom資料保安事故發生以來,香港個人資料私隱專員公署一直非常重視為Zoom和其他視像會議軟件用戶以及學校和家長提供及時的指引,並透過以下渠道發布:
-
2020年4月7日:商業電台881節目《在晴朗的一天出發》訪問
-
2020年4月3日:香港電台第三台節目”Hong Kong Today”訪問
[1] Zoom的總部位於美國加州聖荷西,在納斯達克上市,並在美國、英國、法國、荷蘭、澳洲和日本設有辦事處。
[2] 該9 個地區分別為美國、加拿大、歐洲、印度、澳洲、中國內地、拉丁美洲、日本及香港。