明毓律師事務所HSU & Associates
2021/3/3 / 時事探討

會議裡有不速之客!Zoom與紐約州檢察長達成資安保護協議

受惠於各國面對新冠肺炎疫情所採取之封城、居家防疫措施,遠距視訊要求興起,Zoom用戶線上人數從1月初的一千萬攀升至5月初的三億人次,股價也從2020年1月的70美元節節飆升。然而,一夕間的爆紅,也為Zoom帶來許多風波,用戶除了擔心會議資料是否會回傳中國,以及Zoom是否有進行點對點加密(end-to-end encrypted)外,更有用戶遇到不速之客亂入會議,甚至利用色情、仇恨言論干擾會議進行之Zoombombing情形。

 

為了因應各方之資安疑慮,2020年5月初,Zoom與紐約州檢察長Letitia James達成協議,根據該協議,Zoom將指定一資安長,負責執行資訊安全計畫(information security program),並施行風險評估,檢視軟體漏洞,以加強對於使用者隱私及資安之保護。此外,Zoom亦將藉由加密協定(encryption protocols)來增強用戶資訊的安全性,並將要求每個會議預設密碼,以控管進入會議之使用者。Zoom與紐約州檢察長達成之協議包括提供:

 
  • 完整的資訊安全計畫:包括指示負責資安計畫的員工、實行風險管理計畫、資安程式碼審查等。

  • 額外之資料安全作為:採用加密協定、採用合理措施以因應憑證填充攻擊、持續進行弱點管理計畫。

  • 隱私控管:對於用戶之資安宣導教育、讓使用者得以控管其會議(例如預設密碼、使會議主辦人得控制由誰分享畫面、限制特定email網域始得加入會議等)。

  • 保護用戶免於有心人士濫用:提供簡易之不當內容舉報管道、更新Zoom使用政策,並再次強調禁止利用Zoom散布有關種族、宗教及性向之不當言論。

  • 資安稽核與測試:定期提供服務組織控制報告(SOC2)予紐約州檢察長、持續進行風險為基礎之滲透測試,以辨識、評估及修正資安漏洞。

  • 其他:提供外部監督機制(例如漏洞回報獎勵計畫、提供資安隱私投訴管道給使用者及專業監督組織等)

 

自今年三月起,Zoom即開始調查有關Zoombombing所造成的種族、宗教及性向等不當內容舉報,並進一步在停止與Facebook分享資料後,推出具加密措施及預設密碼之新版本「Zoom 5.0」。Zoom發言人表示:很高興能達成這項協議,代表Zoom已經完成其90天資安、隱私計畫中的一部分,包括將許多我們已經存在的安全功能變為預設開啟,並且導入新的資安增強機制。

 

而就在Zoom與紐約州檢察長達成協議的4天後,美國聯邦貿易委員會(The Federal Trade Commission,下稱FTC) 主席Joseph Simons在一場與眾議院的電話會議中表示,FTC正在調查Zoom的隱私權問題,並將嚴肅看待有關Zoom資安隱私問題之投訴。雖然FTC的調查不一定會導致Zoom受到處罰,但是勢必將使Zoom更審慎面對其應採行之資安措施。

 

                 

參考資料:

  1. Zoom to expand security, privacy safeguards as part of agreement with New York AG

  2. U.S. FTC indicates it is looking at Zoom privacy woes

  3. 一再被標籤化的Zoom究竟是中企還是美企?

Articles
Latest
posts
拜登《發展數位資產行政命令》簡介
加密貨幣該怎麼管?美國《金融創新責任法案》簡介(下篇)
加密貨幣該怎麼管? 美國《金融創新責任法案》簡介(上篇)
公益與營業秘密揭露之兩難——簡介TRIPS Covid-19豁免提案
認識歐盟新版標準契約條款:個資國際傳輸新發展
深偽技術移花接木——面對人工智慧,個資法準備好了嗎?
疫苗通行證將上線?淺談「台北通app」之個資蒐用問題
中國個人信息保護法開跑!十大重點一次看!
真的假的!?埋在發財致富路的陷阱 ——淺談詐欺取財罪與非法吸金罪
謝絕來電計畫——公正第三方介入當事人同意機制之可行性?
召集股東會:是雙胞胎!恭喜老爺,賀喜夫人!?
萬華區民眾健保卡註記事件之隱私疑雲——兼談「剖析」之基本概念
從隱私保障角度檢討疫情警示簡訊:「細胞廣播」與「類細胞簡訊」之運用
匿名化或假名化?資料去識別化之概念釐清
召集股東會:喚醒沉睡在股份中的表決權
誰在暗處解讀戰術?——即時轉播對於營業秘密保護的可能影響
「繼續閱覽代表我同意」?淺談GDPR及CPRA對於同意有效性之認定
以「臺灣社交距離app」找到人與人的連結,但我的個資也被連結了嗎?
召集股東會:誕生吧!決議!
除了GDPR外,你還要知道 ePrivacy Regulation
馬賽克理論簡介——隱私內涵之再反省
打擊盜版?尊重言論自由?——在光譜間擺盪的網路平台業者
Facebook透明報告出爐!機器學習讓打擊盜版更有效率
全國通用「簡訊實聯制」上路:效率防疫倒映之隱私隱憂
天網是什麼?簡評「電子圍籬」及「雲龍系統」運用的隱私疑慮
如影隨形的小甜餅將何去何從:從第三方 Cookies 的使用限縮談「 Cookies 同意」
GoPro、UBER主動出擊! 原來定期檢索競爭對手商標很重要
你的同意不是你的同意!?從歐盟個資保護委員會公布之05/2020指引看當事人同意效力
人工智慧近期國際動態—美國FTC針對人工智慧偏見之建議與歐盟人工智慧法律框架草案
個資外洩怎知道?從Facebook近日個資侵害事件看個資事故之通知