私隐专员对Zoom资料保安事故作出警告

新型冠状病毒大流行导致许多雇员在家办公,为了取代线下会议,避免人员流动,对更加协作的会议文化的需求也日益显现。在线会议使用视频会议系统,让企业能够与客户保持联系,同时与通过互联网远程办公的其他雇员进行互动和协作。在此背景下,Zoom,一款电话会议应用程序,变得比以往任何时候都更受欢迎,转眼成为了新冠病毒大流行期间企业联系的新方式。然而,最近有报道称该软件存在保安问题—视频电话会议和在线教室劫持,也被称为‘Zoombombing’。此外,据报导,Zoom会议没有进行端到端加密,这也涉及它功能的另一大缺陷。

于2020年4月1日,为回应市民对Zoom使用的关注,香港个人资料私隐专员公署(简称‘公署’)就Zoom的资料保安事故发表了一份保安及个人资料私隐问题的媒体声明。公署建议选择使用Zoom的市民应:

  • 将Zoom应用程序更新到最新版本;

  • 以专为Zoom而建立的账户登入,避免使用现有的其他账户登入;

  • 为会议设置密码,而会议密码及其链接应只给予与会者;

  • 密切注意账户任何异常活动;及

  • 保留所造成的任何损失的纪录,以便将来跟进。

2020年4月9日,针对‘Zoombombing’问题,公署发表了两份传媒回应,提醒公众:Zoom设计的初衷并不是传播或散布机密或高敏内容,将Zoom作为在线学习平台使用时可能会涉及包括黑客攻击在内的保安风险。

鉴于Zoom日益受到关注,公署为选择使用视频会议软件的人士提供了实用的指引,包括在等候室接受‘强制隔离’ (只有主持人才能控制与会者何时可以参加会议)。公署亦提醒使用者应获取会议编号,而且不同的会议应使用不同的编号。入会密码只能发送给所需的与会者。使用者还应该启用其他安全功能,例如,启用‘锁定会议’功能以在会议开始时锁定会议;只允许主持人在会议期间或在有需要时使用‘共享屏幕’功能;禁用文件传输,电话拨入和录像功能,并且所有设备都应更新最新的安全补丁;开启防火墙,安装杀毒软件;确保网络连接安全可靠;禁止雇员使用公共Wi-Fi。

公署建议使用视频会议软件的雇员必须仔细监控所有内容,删除不当信息,并剔除身份不明的与会者。所有追踪资料和记录均须储存并加密,个人资料在完成收集目的后应该销毁。雇员应确保屏幕上不会显示任何个人资料。此外,使用Zoom的公司应该要求其员工只使用真实姓名,而非昵称,以便主持人识别与会者。

由于目前社交疏离仍在执行,企业不可避免地会转向视频会议软件来与客户保持业务联系,并通过互联网继续开展业务。鉴于上述资料保安问题,雇主应就如何选择音频及视频通讯平台咨询专业意见,并就如何使用视频会议软件和如何处理资料外泄问题制订自己的指引。雇主应向雇员提供培训,让他们在使用软件前了解个人资料私隐政策以及已采取的保安措施,以将潜在风险最小化,并确保有关的个人资料私隐法例得到遵守