明毓律師事務所HSU & Associates
2021/3/3 / 時事探討

會議裡有不速之客!Zoom與紐約州檢察長達成資安保護協議

受惠於各國面對新冠肺炎疫情所採取之封城、居家防疫措施,遠距視訊要求興起,Zoom用戶線上人數從1月初的一千萬攀升至5月初的三億人次,股價也從2020年1月的70美元節節飆升。然而,一夕間的爆紅,也為Zoom帶來許多風波,用戶除了擔心會議資料是否會回傳中國,以及Zoom是否有進行點對點加密(end-to-end encrypted)外,更有用戶遇到不速之客亂入會議,甚至利用色情、仇恨言論干擾會議進行之Zoombombing情形。

 

為了因應各方之資安疑慮,2020年5月初,Zoom與紐約州檢察長Letitia James達成協議,根據該協議,Zoom將指定一資安長,負責執行資訊安全計畫(information security program),並施行風險評估,檢視軟體漏洞,以加強對於使用者隱私及資安之保護。此外,Zoom亦將藉由加密協定(encryption protocols)來增強用戶資訊的安全性,並將要求每個會議預設密碼,以控管進入會議之使用者。Zoom與紐約州檢察長達成之協議包括提供:

 
  • 完整的資訊安全計畫:包括指示負責資安計畫的員工、實行風險管理計畫、資安程式碼審查等。

  • 額外之資料安全作為:採用加密協定、採用合理措施以因應憑證填充攻擊、持續進行弱點管理計畫。

  • 隱私控管:對於用戶之資安宣導教育、讓使用者得以控管其會議(例如預設密碼、使會議主辦人得控制由誰分享畫面、限制特定email網域始得加入會議等)。

  • 保護用戶免於有心人士濫用:提供簡易之不當內容舉報管道、更新Zoom使用政策,並再次強調禁止利用Zoom散布有關種族、宗教及性向之不當言論。

  • 資安稽核與測試:定期提供服務組織控制報告(SOC2)予紐約州檢察長、持續進行風險為基礎之滲透測試,以辨識、評估及修正資安漏洞。

  • 其他:提供外部監督機制(例如漏洞回報獎勵計畫、提供資安隱私投訴管道給使用者及專業監督組織等)

 

自今年三月起,Zoom即開始調查有關Zoombombing所造成的種族、宗教及性向等不當內容舉報,並進一步在停止與Facebook分享資料後,推出具加密措施及預設密碼之新版本「Zoom 5.0」。Zoom發言人表示:很高興能達成這項協議,代表Zoom已經完成其90天資安、隱私計畫中的一部分,包括將許多我們已經存在的安全功能變為預設開啟,並且導入新的資安增強機制。

 

而就在Zoom與紐約州檢察長達成協議的4天後,美國聯邦貿易委員會(The Federal Trade Commission,下稱FTC) 主席Joseph Simons在一場與眾議院的電話會議中表示,FTC正在調查Zoom的隱私權問題,並將嚴肅看待有關Zoom資安隱私問題之投訴。雖然FTC的調查不一定會導致Zoom受到處罰,但是勢必將使Zoom更審慎面對其應採行之資安措施。

 

                 

參考資料:

  1. Zoom to expand security, privacy safeguards as part of agreement with New York AG

  2. U.S. FTC indicates it is looking at Zoom privacy woes

  3. 一再被標籤化的Zoom究竟是中企還是美企?

文章分類
近期文章
召集股東會:是雙胞胎!恭喜老爺,賀喜夫人!?
萬華區民眾健保卡註記事件之隱私疑雲——兼談「剖析」之基本概念
從隱私保障角度檢討疫情警示簡訊:「細胞廣播」與「類細胞簡訊」之運用
匿名化或假名化?資料去識別化之概念釐清
召集股東會:喚醒沉睡在股份中的表決權
誰在暗處解讀戰術?——即時轉播對於營業秘密保護的可能影響
「繼續閱覽代表我同意」?淺談GDPR及CPRA對於同意有效性之認定
以「臺灣社交距離app」找到人與人的連結,但我的個資也被連結了嗎?
召集股東會:誕生吧!決議!
除了GDPR外,你還要知道 ePrivacy Regulation
馬賽克理論簡介——隱私內涵之再反省
打擊盜版?尊重言論自由?——在光譜間擺盪的網路平台業者
Facebook透明報告出爐!機器學習讓打擊盜版更有效率
全國通用「簡訊實聯制」上路:效率防疫倒映之隱私隱憂
天網是什麼?簡評「電子圍籬」及「雲龍系統」運用的隱私疑慮
如影隨形的小甜餅將何去何從:從第三方 Cookies 的使用限縮談「 Cookies 同意」
GoPro、UBER主動出擊! 原來定期檢索競爭對手商標很重要
你的同意不是你的同意!?從歐盟個資保護委員會公布之05/2020指引看當事人同意效力
人工智慧近期國際動態—美國FTC針對人工智慧偏見之建議與歐盟人工智慧法律框架草案
個資外洩怎知道?從Facebook近日個資侵害事件看個資事故之通知
Cookie掰掰,但Google的FLoC群組真能更加保護用戶隱私?
刷臉換登機?淺談近期人臉辨識相關規範
美國消費者隱私保護專法第二槍
加州消費者隱私保護法(CCPA)升級版?加州隱私權利法(CPRA)要來了!
疫情與人權—簡介以色列法院對於電子足跡的看法
會議裡有不速之客!Zoom與紐約州檢察長達成資安保護協議
隱私聲明惹的禍?臉書被罰650萬美元
微軟承諾:保障跨境傳輸的用戶資料
Google因追蹤無痕模式使用者而面臨50億美元求償
Facebook將停用歐洲使用者Ig及Messenger部分功能