小米回傳用戶個資回北京? F-Secure呼籲行動裝置廠商應重視個資保存
(2014年8月13日,台北訊)日前芬安全(F-Secure)馬來西亞亞洲實驗室接受科技網站《iThome》委託,對於網路上盛傳紅米機會將消費者個資傳回中國的報導進行實測,結果顯示包括紅米機、小米手機的確資料回傳的事實,針對此實測結果,台灣小米隨即發出道歉聲明並即時修正相關自動設定,以降低使用者對於個資安全的疑慮。芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬則提醒各行動裝置廠商,在未經允許之下,任意收集消費者個資不只違反個資法,更有可能讓企業負責人吃上連帶法律責任。尤其許多App開發者只是SOHO族,對於開發程式有熱誠,卻不見得會妥善保管所收集來的個資,甚至將收集來的個資作販售也不無可能。
杜世鵬表示,此次芬安全馬來西亞亞洲實驗室接受委託,實際測試全新未使用過的紅米機以及小米手機,發現只要裝上SIM卡連上網路,尚未進入任何初始安裝設定前,就會自動回傳用戶手機號碼、手機序號到中國境內,甚至只要新增手機通訊錄聯絡人並發送簡訊後,就同時將接收簡訊者的手機號碼轉發到中國境內的伺服器中。不只小米有個資外洩的疑慮,先前蘋果官方也承認iOS系統的確可以在未經消費者同意的情況直接收集個資,事實上只要是行動裝置的廠商,都具有類似的功能,但主要是要收集產品的使用情況,而非消費者資訊。多半智慧型裝置的使用者為了獲取更好、更完整的服務,對於有限度地開放個資甚至權限並不會抗拒。但若未經消費者同意就進行資料收集,或是手握大量消費者資訊的廠商保存不當讓資料外洩就不是消費者可以輕易原諒的事情。
杜世鵬強調,面對近期一連串蘋果後門程式、小米回傳資料的新聞,再再凸顯各種服務提供商收集個資已過度氾濫,不只硬體廠商直接回傳,許多App開發者也在做類似的事情,甚至連手電筒程式也會要求許多不合理的個資收集。雖然台灣小米已經針對此次事件做出修正與回應,也表示不會將資訊外流給第三方,也表達未經用戶允許,不會主動上傳涉及用戶隱私的個人資訊和資料,但卻無法告訴用戶收集這些個資的目的與原因為何,難怪會造成用戶的反彈跟疑慮。再加上雲端服務原本就沒有地域限制,只要廠商沒有妥善保管用戶資訊,一旦外流就可能成為國際上流通的資訊。針對這些手握龐大個資的服務商,台灣個資法專家林鴻文律師也提醒企業更應加強保管,因為若真如同該新聞中所述,在未取得個人同意之下而將手機中之個人資料進行傳輸,恐有觸犯我國刑法妨害秘密罪、妨害電腦使用罪等及個人資料保護法之虞,而一旦因保管不當造成資料外洩,負責人或管理者可能會遭受鉅額民事損害追償及行政罰鍰。消費者資料對於行銷、產品開發者來說如無價之寶,但若未能取得使用者授權、並善盡保管之責,反而這樣的行為成為破壞商譽、損害品牌形象的雙面刃就得不償失了。