內建軟體強奪個資 企業良心怎有保障

(2014年10月23日,台北訊)小米事件尚未完全落幕,國產品牌ASUS卻又傳出更新Android版本並在未經使用者同意下直接加裝內建大陸軟體,由於該軟體要求過多手機權限,系統一旦更新後,完全不需經由使用者同意與否,所有的權限馬上就交出去了,隨即引起使用者不滿與討論,更加深民眾對於更新系統的遲疑與不信任感。芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬強調,用戶下載App無論軟體所要求的授權合理與否,起碼都給予使用者選擇的機會,但手機內建軟體卻隨著系統更新強制安裝,讓使用者連說「NO」的權利都沒有,更突顯民眾在使用3C產品時,對於守護個人隱私的無能為力,倘若僅仰賴企業良心,宣導不要外洩用戶個資,恐怕又是一個無解問題。

杜世鵬表示不管是電腦或是行動裝置的系統更新,對於資安維護來說都是重要且必要的,系統更新除了新增功能外,最重要的是可以修正舊版本的缺失與漏洞以圍堵駭客入侵。各手機廠商在進行系統更新時,或多或少會夾帶內建軟體,但這些內建軟體是否有要求過多權限等問題,也需由廠商自行進行把關。以這次ASUS開放更新 ZenFone至 Android 4.4的例子來說,版本更新是希望提供用戶更好的使用經驗,卻在系統更新時,同步內建軟體「觸寶號碼助手」,手機廠商希望透過版本更新強化手機功能,並藉由此APP協助進行來電辨識、攔截詐騙或是騷擾電話等,雖然立意良善,但該軟體幾乎要求所有手機權限,等同給該軟體公司全面監控用戶的權力,而且連選擇的機會都沒有給用戶,在更新進行時直接安裝。由此單一事件牽扯到個資法來看,若專業經理人在洽談異業合作案時,未具備完善相關法律知識,恐因疏失導致企業負責人連帶受罰,企業經營者該如何避免員工因一時不察觸及法律,是現階段企業面臨個資法上路的一大考驗。台灣個資法專家林鴻文律師也提醒企業應善盡告知義務,在未取得個人同意之下而安裝內建軟體,任由軟體廠商取得使用者手機權限,恐有觸犯我國刑法妨害秘密罪、妨害電腦使用罪等及個人資料保護法之虞,若再因保管不當造成資料外洩,負責人或管理者可能會遭受鉅額民事損害追償及行政罰鍰。

杜世鵬提醒,類似事件層出不窮,這只是再次突顯企業對於守護用戶資訊的敏感度與謹慎仍顯不足,以此事件來看,企業在前端談合作方案時並沒有全方位思考消費者權利,導致APP開發商可輕易透過更新系統奪取用戶權益,甚至因為網路、APP無國界的特性,讓這些可以偷渡用戶資訊的軟體游走在國家法律邊緣逃脫政府的管控範圍。企業為了增加購買意願,透過內建許多便利軟體來吸引消費者目光,但這些APP收集到的資料用途為何卻沒交代清楚,也沒有向用戶報告如何管理並避免個資外洩,難保企業以「研究」為名將用戶資訊挪為其他用途,甚至給其他單位使用。守護個人隱私實際上難靠抽象的企業良心,政府雖因為小米事件開始檢測手機廠商後台資料運用,遇到相關事件才一個個去檢視,這都是只治標不治本的被動作法,行動裝置所衍生的個資管理、權限授權等問題應仰賴國家直接立法規範,才能從根本解決問題,避免外來軟體鑽更新漏洞,竊取民眾個資。