在冠狀病毒病大流行期間,視頻會議應用程式在全球變得空前流行。然而,人們已重新思考這些應用程式的一些安全和私隱問題,例如在視頻會議期間有人入侵並顯示不雅內容、追踪用戶的專注度、在未經用戶同意的情況下與第三方分享用戶資料、缺乏端對端加密,以及通過其他地方傳輸視頻會議數據。從個人資料私隱的角度來看,應該如何挑選和安全地使用這些應用程式呢?
直到最近幾個月,視頻會議應用程式的使用才成爲熱門話題,原因是當前冠狀病毒病大流行導致有必要保持社交距離,視頻會議服務的需求因而飈升。根據一款的視頻會議應用程式,其每日視頻會議參與者的數目從2019年12月底的約一千萬人增加到2020年4月的三億多人。視頻會議應用程式被廣泛應用於商務會議和線上課程,更不用說令相距遙遠的家人和朋友能得以虛擬地相互聯繫。業餘用戶數量的激增,加上用法簡單和便利,一如所料地爲壞份子製造了機會去利用這些應用程式的漏洞,尤其是通過發放不適當的內容擾亂視頻會議。美國非牟利消費者組織「消費者報告」在2020年4月30日發布的一份報告顯示,視頻會議應用程式的其他私隱問題包括在視頻會議中收集用戶資料,以建立用戶檔案,並與第三方分享用戶資料。網絡攻擊,包括黑客入侵和網絡釣魚,仍然是令人擔心的問題。據報道,一些本地高等教育機構和公共機構因此停止使用一款流行的視頻會議應用程式。
功能和措施
不同的視頻會議應用程式所提供的功能類似,譬如允許用戶(1)爲每個視頻會議創建唯一的會議識別編號和密碼,(2)在視頻會議期間與其他參與者共享屏幕和文檔,(3)錄影視頻會議,(4)由主持人移除參與者或將參與者「靜音」。同時,應用程式的一些私隱保障和安全措施可能會有所不同。在選擇視頻會議應用程式時,用戶應該檢查應用程式提供的私隱保障和安全措施是否可以滿足他們的要求。一般安全措施包括:(1)使用端對端加密,(2)選擇數據中心的位置,(3)提供虛擬等候室來驗證參與者,(4)在所有參與者加入後鎖定會議,(5)控制誰可以與其他人共享屏幕和文檔,以及(6)在會議期間使用虛擬背景或將背景模糊化,以使背景中的東西不會泄露私人資料。用戶還應審查和瞭解法律規定要有的應用程式私隱政策和使用條款,例如(1)可以與誰分享用戶資料,(2)用戶資料的預計用途(例如用戶概況彙編和投放廣告),以及(3)用戶資料的保留期限。用戶尤其應查看和瞭解視頻會議供應商會收集、使用和披露開設賬戶者或參加視頻會議者的個人資料。
盡職審視
在使用視頻會議應用程式時,建議主持人利用所有可用的私隱保障和安全措施。其他預防措施可能包括(1)禁止電話撥入,(2)禁用視頻錄影功能,(3)禁止文件傳輸,並僅限於主持人共享屏幕,(4)禁止參與者早於主持人加入會議,(5)使用並定期更新獨特且複雜的密碼,而不重複使用與視頻會議賬戶相同的密碼,和(6)避免在社交媒體平台或網站上宣布會議,以及(7)僅向預期參與者提供會議識別編號和密碼。
對於視頻會議的參與者,他們應該(1)在不註册用戶賬戶的情況下以客人身份加入會議,以減少數碼足迹。如果無可避免要註册用戶賬戶,他們應該(2)創建新的電郵地址進行註册,並避免使用已分配給其他更重要事項(如電子銀行)的電郵地址。(3)如無必要,參與者還應關閉攝錄鏡頭和麥克風,並且(4)避免在會視頻會議期間談論非必要的私人資料。為防對話內容被其他人無意中聽到,參與者(5)應使用耳機。(6)聲控的智能家居助理應在視頻會議期間關閉,以防意外地啟動有關裝置的錄音功能。
如果使用網絡瀏覽器進行視頻會議,(1)應爲會議打開一個新視窗,並應關閉所有其他應用程式(如電郵),以防止資料意外洩露。理所當然地,(2)只應使用最新版本的軟件或具有最新安全功能的手機應用程式。(3)用戶應追蹤與其選用的視頻會議應用程式相關的新聞,以獲得最新的安全威脅和軟件更新資訊。
貫徹私隱設計
在最近的私隱和安全事件之後,一款廣受歡迎的視頻會議應用程式承諾採取更有利於私隱的措施作爲補救措施,如(1)取消追踪用戶專注度的功能,(2)停止與社交媒體公司分享用戶資料,並(3)允許主持人選擇用以傳送視頻會議數據的數據中心區域。
視頻會議應用程式及其漏洞都是典型的例子,說明貫徹私隱設計和貫徹安全設計的重要性。如果應用程式開發者和服務供應商在推出他們的服務之前識別並解决了所有的私隱和安全問題,就可以省去所有後續的麻煩。透明度和可解釋性是關鍵。同樣地,如果機構能以旺角街頭的人都能理解的語言,全面而清晰地解釋如何使用和保障他的資料,則肯定會取得使用者的信任和信心。爲提供有關貫徹私隱設計的指引,私隱專員公署與新加坡個人資料保護委員會聯合出版了《資訊及通訊科技系統的貫徹資料保障設計指引》。
公平地說,部份視頻會議應用程式並不是爲討論機密資料或敏感內容的會議而設的。雖然這些應用程式的便利性和容易使用性很吸引人,特別是考慮到在冠狀病毒病大流行的艱辛時期進行面對面交流是非常困難,但用戶和應用程式開發人員必須對私隱保障保持警惕和尊重,以盡量減少可能侵犯私隱的情況,並防止敏感資料外洩。 個人固然要保持警惕,機構亦應該强調網絡安全、守法文化、問責以及數據道德。鑒於視頻會議服務的潛在個人資料風險,我們鼓勵機構和消費者採納私隱專員提出的建議和做法(www.pcpd.org.hk)。大家可能有興知道美國國家安全局就《挑選和安全地使用協作服務以進行遙距工作》所提出的觀察,當中亦有就13款現有商業性協作服務如何滿足該局的保安標準作出了初步評估 (https://media.defense.gov/2020/Apr/24/2002288653/-1/-1/0/CSI-SELECTING-AND-USING-COLLABORATION-SERVICES-SECURELY-SHORT-FINAL.PDF)。