数据安全事件时评第一期
今天小编推出新栏目——“M姐评时事”,这是个新尝试,主要针对全球范围内最新出现的数据安全事件进行译介和点评,欢迎大家持续关注。
【时事一】
Fitness app Polar exposed locations of spies and military personnel(来源:https://www.zdnet.com/article/fitness-app-polar-exposed-locations-of-spies-and-military-personnel/)
【时事摘要】
一款名为PolarFlow的健身软件近日被爆出,其在不经意间泄露了在军事基地和政府部门工作人员的位置信息。本来将运动轨迹在软件上公开是它的一个功能并不涉及隐私问题,但即使用户将其资料设为私密时,根据用户的运动活动仍然会揭示出他的住所信息。这一点对政府部门和军事基地的工作人员来说是将可能产生国家安全风险的。虽然公司将隐私的设置权保留给用户,但很多人仍然不知道他们的信息是可以被搜索到的,更不用说是可以被任何人获取了。
De Correspondent 和Bellingcat两家荷兰媒体对此事件进行了调查并对信息泄露问题予以了证实。根据该调查,Polar公司的API开放接口可以通过不正当的方式进入并获取任何客户的健身数据,不仅可以准确看到用户的运动路线,还能轻松定位用户的住所,即使用户将个人信息设置为私密也不例外。
Thereporters identified more than 6,400 users believed to be exercising atsensitive locations, including the NSA, the White House, MI6 in London, and theGuantanamo Bay detention center in Cuba, as well as personnel working onforeign military bases.记者发现,有超过6400名用户在被认为是敏感的地点使用了该软件,包括国家安全局、白宫、伦敦军情六处和古巴的关塔那摩湾拘留中心,以及在外国军事基地工作的人员,
With twopairs of coordinates dropped over any sensitive government location orfacility, it was possible to find the names of personnel who track theirfitness activities dating as far back as 2014.并且可以找到并跟踪健身活动的人员姓名,这些人员的历史甚至还可以追溯到2014年。不仅可以确切地看到用户在哪里锻炼,而且如果他们一离开家就开始或停止了他们的健身追踪,很容易确切地指出用户居住的地方。这些数据可以勾画出人们的生活、居所地,甚至他们去过的地方这样一幅幅令人不安的画面,并开辟出更多关于他们是谁以及他们认识的人的途径。
然而Polar公司对此次信息泄露事件和系统违规事件却予以否认,并称其在GDPR方面也是合规的,但目前其已将软件内的地图功能暂停使用了。"Whilethe decision to opt-in and share training sessions and GPS location data is thechoice and responsibility of the customer, we are aware that potentiallysensitive locations are appearing in public data, and have made the decision totemporarily suspend the Explore API."“虽然选择加入和分享培训课程和GPS位置数据的决定是客户的选择和责任,但我们知道潜在的敏感位置出现在公共数据中,并已决定暂时中止Explore API。“
ZDNet现已就此次数据泄露事件向美国权威当局反馈,尽管ODNI(美国国家情报总监办公室)“意识到收集和报告个人和位置数据的设备的潜在影响”,但相关当局均未针对此事积极采取措施并加以应对。“从事美国政府支持的个人使用个人健身和类似设备由每个机构和部门决定和指导,”美国国家安全局发言人表示,该机构“已制定并实施有关在受控工作区域内使用可穿戴健身设备的政策”,但没有说明这些政策是什么。
【M姐评论:】
对于从事特殊工种的人群来说,其个人轨迹已经不单纯代表自己的个人信息了,它会对国家安全与军事机密产生非常大的威胁。这些人使用APP并且注册账户的时候,尤其需要格外注意用户条款以及隐私政策中批露的内容(除非APP本身在文件合规性上存有瑕疵告知),对于需要以真实姓名或者其他可以直接识别或者与其他社交网站上批露的信息相结合可能识别出某具体个人及其身份信息的,应当不予使用真实信息进行注册或者放弃使用此类APP。正如上面新闻中所述,某人在Polar应用程序中列出了自己的真实姓名,然后记者很容易顺着这个线索找到他的LinkedIn账户,自然便得知其工作机构。于是,Polar地图向记者展示的该人从办公室到家庭住址的路线图,便更加精准了此人的画像。
当然,本新闻中,Polar公司肯定是存在问题的,用户的个人轨迹是否可以向任何第三方展示,尤其是在个人选择设置其个人信息为私密状态的情况下。
首先,做为一家健康运动APP公司,如果仅是向用户展示其运动指标参数,尚可,是否有必要向该用户以外的人展示每一用户的全部运动线路?M姐认为,完全没有必要,除非该用户自己自愿将运动路线图晒在朋友圈或者其他社交网站上;否则企业这么做并没有增加用户体验,反而增加了自身风险。
其次,做为健康计步数据,属于敏感信息,在向第三方用户展示或者进行健康排名之前,是否有向用户完全批露与告知此功能与方式,是否由获得用户的授权同意?显然是必需的。
再次,做为一款运动APP,在注册信息填写时,是否有必要让用户填写其真实信息?M姐虽然没有使用过Polar, 但认为如果可以不填写真实信息的情况下,其实完全没有必要如实填写,甚至都可以用一个假名(昵称)进行替代,这也是万一将来自己的地理信息被泄露了,不但对自己人身和财产安全予以保护,甚至还有必要保护自己所在的特定机构的安全。当然,如果是对于一个大应用软件(比如微信,需要实名注册的)下面的一个子功能应用的(比如微信运动),针对子功能所使用的数据是否可以分享并独立,将去标识化后的数据与整体功能软件中的注册信息进行分类存储与使用,不做用户具体是谁的主动识别动作。
另外,对于一些敏感的地理位置(比如国家安全局或者情报局等机构),是否可以进行技术手段上的处理,让这些区域不在APP地图上做精准展示,或者与无法对跑步经过该区域的人的数据进行配对或者储存,当然这点还有待商榷。
最后,对于任何一个企业来说,API的接口管理,也是一项重要的责任。通过API对接,既可以带来商机和利润,但因此也可能是数据被泄露和污染的窗口。因此,安全意识的提高与安全措施的布署,是不容小觑的二个问题。
【时事二】
Facebook’s Push for Facial Recognition Prompts Privacy Alarms(来源:https://www.nytimes.com/2018/07/09/technology/facebook-facial-recognition-privacy.html?nytmobile=0)
【时事摘要】
Facebook今年在欧盟推出了面部识别工具,并号称这项技术的推广可以帮助人们保护其线上身份,即防止别人用你的照片冒充你。早在六年前这项技术就遭到过执法者的质疑,但现在Facebook又引进了该服务。
如今美国与欧洲关于数据的审查都很严格,因此少部分官员针对此事提出,面部识别技术并未征得用户同意、侵犯了用户的隐私;现在已经有一些机构在对Facebook进行调查了。
面部识别的工作原理是在照片或视频中扫描未命名人物的面部,然后将他们的面部图案的代码与指定人员的数据库中代码进行匹配。虽然Facebook表示这个过程是由用户控制的,但批评人士却说人们实际上并不能控制这项技术,因为即使面部识别设置被关闭,Facebook也会在照片中扫描他们的脸部,而且事实上它也扫描着每一张照片。
其实问题的核心在于Facebook是否征得了用户的同意以及获取用户同意的方式,然而Facebook以保护用户身份信息之由来推广这项服务却有操纵用户同意之嫌。早在2010年Facebook就引进了类似的照片标记功能“Tag Suggestion”,而且当时是为用户将这项功能设置为了默认选项,虽然用户可以将其关闭,但是既未获得用户“选择加入”之同意也未明确告知用户他们可能从扫描用户照片中获利。
此外Facebook今年4月份遭受了伊利诺伊州居民提起的集体诉讼,称其面部识别举措违反了伊利诺伊州的隐私法,如果Facebook辩护失败的话,将可能给Facebook带来数十亿美元的损失。另外,隐私和消费者团体也在4月份向FTC提出申诉,称Facebook增加了面部识别服务,例如帮助识别模仿者的功能,未经事先获得人们的同意。
【M姐评论:】
大家都知道,GDPR其实并非以”同意“为唯一合法性要件,只要企业可以证明其有履行合同之目的,或者有法定义务,有需要满足公共利益要求或者其他正当性目的的情况下,是可以处理个人信息的。但是,GDPR对一些特殊类型个人数据的处理,采取的则是原则上禁止[1],但以用户明确同意作为例外和补充[2]。
对于做出同意的方法,GDPR第7条也做了明确规定:1. 该同意是由数据主体做出的声明,或者做出清晰的肯定性动作,同意被认为才有效。个人沉默、提前勾选的选项、静止等状态,不足以认定个人表达了同意【explicit要件】。2. GDPR还明确了同意是由数据主体自由地做出的【freely given要件】。 3. 数据控制方还应当告知数据主体撤回同意的权利【fully informed要件】。4.如果数据主体是通过书面声明的方式表示同意的,而该声明还涉及其他事项,则同意在形式上应当明显区分于其他事项,以明了且易获取的形式,使用清楚简单的语言【clearly distinguishable+accessible要件】。
在欧盟法域内,Facebook在未经过用户明确同意的情况下,利用面部识别技术扫描用户照片的脸部与其底层数据库进行比对确实侵犯了用户隐私,即使在收集用户照片的时候已经获取了用户的同意,但是脸部扫描与分析技术的目的并没有在收集照片那会儿进行批露,超出了目的限定的范畴。那么在美国法域内,究竟这么做,是否需要用户明确授权同意呢?
根据最新颁布的美国第一部隐私法案《加州消费者隐私法案》(“CCPA”)来看,全文确实没有规定“同意”,但是在个别情况下(如企业故意忽视儿童年龄的情况下)会采取opt-in的机制,而一般情况下都采用了opt-out为原则辅以例外的模式。这也是与美国人喜欢自由和推崇企业自治为先的立法理念密切相关的。并且,CCPA中的“个人信息”概念并没有将哪些属于敏感信息做完全区分。
但是从伊利诺伊州的集体诉讼与隐私和消费者团体向FTC提出的申诉诉由来看,对敏感信息要求“事先同意”的诉求似乎又与GDPR的规定产生了趋同性。让我们拭目以待,美国接下来各州对于隐私保护立法还会有什么样新的变革与发展。
【时事三】
Android Apps Are Sharing Screenshots, Video Recordings to ThirdParties(来源:https://threatpost.com/android-app-are-sharing-screenshots-video-recordings-to-third-parties-report-finds/133686/)
【时事摘要】
根据美国东北大学最新的研究显示,一些安卓手机软件存在巨大的隐私漏洞,包括过度配置其媒体功能权限或在用户不知情的情况下拍摄并分享用户手机软件活动的截图或视频,同时他们还发现了一个之前未被报导出来的隐私隐患,该隐患来自第三方数据库,它们可以在不通知用户且无需任何权限的情况下记录和上传屏幕截图和视频。
研究人员在应用程序上结合使用静态分析(检查代码而不执行程序)和动态分析(通过实时执行数据来测试和评估程序)来发现应用程序是否不恰当地收集和泄漏信息,例如视频或图片。研究需要检查应用程序是否请求访问摄像头和麦克风权限,是否在应用程序代码中实际引用了API,以及是否有任何潜在的API引用来自开发者或第三方库。
一款位于Google Play上的外卖软件GoPuff被查出其将视频泄露给第三方分析平台APPsee,在反编译应用程序的APK后,他们发现GoPuff会在应用程序启动后立即记录屏幕并将交互视频发送到第三方分析公司Appsee。如果大规模采用屏幕录制或使用处理敏感数据的软件,可能会暴露大量用户的PII,而且记录与应用程序的交互过程本身就违反了隐私规范。
研究人员向GoPuff披露了这一消息,GoPuff将Appsee SDK从他们的iOS和Android应用程序中删除,并更新了他们的隐私政策。GoPuff发言人告诉Threatpost “我们最初的隐私政策披露了我们收集的所有PII,用于改进我们的网站。在4周前与东北地区的研究人员交谈后,我们立即采取行动澄清了我们的隐私政策,以引用我们对Appsee的使用。当时,我们进一步审查了Appsee的实用程序,作为一项额外的预防措施,我们主动从最新的Android和iOS版本中删除了AppseeSDK。“他们还向谷歌披露了这一消息,谷歌回应说:“谷歌不断监控应用和分析提供商,以确保它们符合政策要求。当得到我们的调查结果通知时,他们审查了GoPuff和AppSee,并采取了相应的措施。”
Appsee首席执行官兼联合创始人Zahi Boussiba 则回应记者说: “就像应用程序开发人员可以向任何第三方发送敏感信息一样,Appsee也无法控制我们从客户那里收到的数据。在这种情况下,似乎Appsee的技术被客户滥用,并且我们的服务条款遭到违反。一旦我们注意到这个问题,我们立即禁用了上述应用程序的跟踪功能,并从我们的服务器中清除了所有相关数据。”
Google Play平台上的另一款使用拍照功能的测试软件TestFairy,虽然通常是在beta测试期间使用,但其并未在GooglePlay商店中标记为测试版,用户也没有被告知录音,也没有在打开应用程序时被提供选择同意进行beta测试的权利。
各种软件理论上只能捕获用户提交的数据,而不是由安卓开发人员与第三方共享。更大的风险在于,开发人员盲目的将第三方数据库纳入其中,而不了解他们正在收集的是哪些数据。调查人员指出,作为安卓软件开发者,他们必须列明他们将在APKs中需要征得的同意,用户同时也能接受或拒绝该许可要求。
Google的隐私政策规定,任何一个应用软件都应该全面披露该应用收集、使用和共享用户数据的方式,包括共享的第三方类型。
调查人员也强调,用户应该对各种应用软件的许可授权格外加以注意,特别是那些处理敏感数据的应用。
【M姐评论:】
M姐认为如果一个手机软件可以将我们在手机上的任何屏幕截图和视频在未通知我的情况下,随意分享给任何第三方软件,那是多么可怕的事情啊!就好像有第三只眼在实时监视着我们的一举一动和所有隐私。在隐私泄露风险的防控上,M姐认为应该分为以下几个维度:
第一,记录和上传屏幕截图和视频的企业是否有告知用户,即收集是否恰当。比如,作为一款外卖软件,是否有必要收集用户的视频与音频,与其经营项目的目的是否匹配,是否有在其隐私政策中批露其收集用户哪类信息,用于什么目的,是否含有敏感信息,即收集信息是否符合透明性原则与目的正当原则。必要收集的信息是否经过用户同意或者存在其他合法性事由,是否符合最小够用原则。如果存在向第三方共享的情形下,是否在隐私政策中向用户批露第三方的名称及性质,以及采取必要的手段对第三方的资质及数据保护能力进行合法性审查与评估,不但需要通过合同的形式来约束双方的权利义务,而且还需要对第三方的后续履约行为进行持续的跟踪与审查。
第二,对于信息接收方来说,是否可以仅仅通过“对方非要给的信息,我也不知情”来进行抗辩呢?M姐认为这个可能需要看通过API接口接受到“额外”信息的时间持续有多少?并且,接收方有没有“使用”或者“利用”这些“额外”信息进行自己的商业目的?如果已经持续一段时间并且接收方有利用这些信息进行自己的商业用途的话,那么其对这些在隐私政策中未予以批露的“额外”信息的获取是“明知”且“故意”的,并不能按Appsee首席执行官的辩解而予以豁免,其不但需要及时删除这些信息,而且需要承担未尽合法来源审查和未在隐私政策中进行批露并且因未得到用户同意或者其他正当事由处理用户个人信息的所有责任。
第三,对于Google来说,尽管其在Google的隐私政策已经规定,任何一个应用软件都应该全面披露该应用收集、使用和共享用户数据的方式,包括共享的第三方类型。但是这些在Google Play平台上架的应用软件,与Google的关系属于合同关系。Google是否对其vendor进行了审慎的审查及监管义务,在报告中没有过多涉及,但M姐认为是有其必要的。
最后,因为不存在绝对安全的软件系统,因此,还是提醒用户自身也需加强防范意识与能力。安装应用程序的时候,如果被要求授予权限的,则给予最小使用权限。在使用浏览具有个人隐私性质的信息或应用时,通过设置一系列登录口令或者密码来解锁手机或者应用程序,以减少威胁发生的可能性。另外,到正规的应用商店下载安装APP,避免安装来源不明的软件,只安装通过认证的应用程序,避免连接不明的网络以及不明的终端设备等。
[1]GDPR第9条第1款:”禁止在个人数据处理中泄露种族或民族起源、政治观点宗教信仰、哲学信仰、工会成员资格等个人信息,禁止以识别自然人身份为目的对个人基因数据、生物特征数据的处理,禁止对健康数据、性生活、性取向等相关数据进行处理。
[2] GDPR第9条第2款:上述第1款的规定不适用于以下情况:(A) 数据主体明确同意数据控制者出于一个或多个特定目的对其个人数据进行处理,但按照欧盟或成员国法律的规定第1款的禁止性规定可能不取决于数据主体同意的除外;
注: 感谢洪延青博士对时事素材的提供和赵小琳女士对时事摘要部分的翻译与整理。