第五章 行動應用軟體隱私保護標準
第四節 行動應用軟體隱私標準倡議
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
guidance for merchants as End-users),用以教育廠商須做好什麼措施 以防止卡片資料被洩漏。本項指南有三個主要目的:付款交易安全、
行動裝置本身之安全、付款承兌解決方案之安全。其實各利害關係人 對於付款安全各負有責任,本項指南與針對行動應用軟體開發商,和 供應商之行動承兌付款安全指南是可聯合併用194。
第四節 行動應用軟體隱私標準倡議 第一項 W3C行動Web倡議
W3C行動網路最佳應用案例工作組,在 2008 年訂定完成行動網 路最佳應用案例(Mobile Web Best Practices)標準,2010 年行動Web 應用軟體最佳應用案例(Mobile Web Application Best Practices)標 準195,是屬於行動Web倡議。
Web應用軟體最佳應用案例標準,其重點包括196:
• 保守地使用 Cookies,以免影響效能;行動網路或是設備設定 可能會無法支援使用 Cookies。
• 適當地運用使用者端的儲存技術,在啟動時間和反應上 Web Apps 可以與 Native Apps 匹敵。
• 必要時將使者端資料複製到主機。
• 不要執行留存的資料或是 JSON(JavaScript Object Notation)
資料,特別是行動裝置和個資安全風險。
• 確保使用者被告知使用個人和裝置裡的個資。
• 能自動登入和登出的連結。
第二項 GSMA行動應用發展隱私設計指南
GSMA在 2013 年巴塞隆納MWC通訊大展,發表 2013 年行動數
194 PCI Security Standards Council Releases Gudiance for Merchants on Mobile Payment Acceptance Security, February 14, 2013,
https://www.pcisecuritystandards.org/pdfs/13_02_13_Mobile_Press_Release.pdf (last visited 2013/6/9)
195 參考 http://www.w3.org。
196 Colleen Frye, A look at the W3C’s mobile Web application best practices, January 2011,
http://searchsoa.techtarget.com/tip/A-look-at-the-W3Cs-mobile-Web-application-best-practices (last visited 2013/6/16)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
據報告,指出目前有 16 億萬次行動寬頻連線(mobile broadband connections),預計到 2017 年將成長至 51 億次,即多出三倍;對電 信商行動上網營收將大幅提升197。
隨著智慧型手機和相關創新應用服務快速成長,對消費者和社會 帶來很多便利和好處,是行動和 Web 產業所樂見到的;然而,這些 業者也意識到,線上隱私的範圍已經擴展到行動生態系統(mobile ecosystem),這是項新的隱私挑戰。有鑑於此,GSMA 與來自行動生 態系統的業者代表,包括:裝置製造商、系統供應商、軟體開發商、
社交網路和網路公司等,發起 GSMA 行動隱私倡議(GSMA Mobile Privacy Initiative)。其核心目的是在協助建立全球性的指南和做法,
以消除消費者疑慮,並有信心獲得行動用戶之信賴。
2011 年 1 月GSMA公布全球性的行動隱私原則,說明當消費者使 用行動應用軟體和服務時,如果有存取、收集和使用個人資料時,消 費者行動隱私應該被怎樣受到尊重和保護。接著 2012 年GSMA發展 行動應用發展隱私設計指南(Privacy Design Guidelines for Mobile Application Development),包括示範案例,欲協助行動平台、應用和 裝置業者,在使用者的隱私保護上有一致的做法,GSMA發布後將收 集各方意見,並將發布更新版本。目前 2012 年版本已公告於GSMA 網站,該指南係採納「依設計保護隱私」(Privacy by Design)作法,
欲協助確保行動軟體朝尊重和保護使用者與個資發展。”Privacy by Design”認可使用者有隱私利益,包括隱私期待、需求、慾望和顧慮,
一開始就應該要用主動的方式處理,而不是後來才想到才「加上去
(add-on)」。其對於個人資料的定義是,包括:姓名、地址和生日等 資料直接從應用軟體收集取得;間接取得行動電話、IMEI或UDID資 料;收集使用者行為資料、定位資料、網路瀏覽資料和應用軟體連結 到的個人概況資料;使用者產生之資料如聯絡清單、影音和照片、訊 息、e-mail、和電話紀錄等。此外,還有其他被認為是敏感性的資料,
需要額外的安全保護,可能是包括:登錄認證、註冊和金融明細與個 人醫療相關資料。而隱私是一種動態的概念,對不同的人有不同的意 涵。本指南針對有關個人資料收集、使用和分享,提出導入建議和應 用案例198。
197 GSMA 行動經濟報告:全球行動數據營收於 2017 年超越語音營收,數位時代網站,2012 年 2
月 26 日,
http://www.bnext.com.tw/article/view/cid/128/id/26698http://www.bnext.com.tw/article/view/cid/128/i d/26698,最後上網日期 2013/6/4。
198 參考 Mobile and Privacy, GSM Association 2012, February 2012,
http://www.gsma.com/publicpolicy/wp-content/uploads/2012/03/gsmaprivacydesignguidelinesformobil eapplicationdevelopmentv1.pdf (last visited 2013/6/4)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
有鑑於行動化應用在醫療領域的發展,GSMA於 2012 年發表一 份針對行動醫療之高層參考報告(A High Level Reference Architecture for Mobile Health)。Continua Health Alliance199和IHE(Integrating the Healthcare Enterprise)共同關注組織之標準互通議題,將標準組成互 通整合簡介(profile),將資料標準、安全標準、訊息標準和傳輸等合 併成一個有保證的解決方案。包括HL 7 通訊標準外,IEEE 11073 的 醫療裝置資料標準和醫療數位影像傳輸協定(DICOM,Digital Imaging and Communications in Medicine)。在行動醫療上的認證和加 密有:嵌入在SIM卡上的應用軟體(On-SIM applications)和無線智 慧晶片卡認證(Wireless “smartcard” authentication)。支援醫療應 用之行動裝置有非接觸式NFC和二維條碼技術200。因此有待各個領域 專業的夥伴合作,以完備行動醫療技術標準,並期待進一步建立行動 醫療隱私標準。
第三項 MEF行動應用軟體隱私倡議
MEF於 2012 年在華盛頓隱私高峰會中,提出行動應用軟體隱私 倡議(Privacy in Mobile Applications Initiative),期望協助全球行動產 業,當涉及行動應用軟體收集使用者資料時,可建立消費者信賴。本 倡議目標在:建立標準化的架構,以供開發者定義和溝通行動軟體隱 私政策選項;建立最佳應用案例,並於跨行動產業鏈中,提供務實的 工具,以取得消費者告之同意;在行動應用軟體商店、市集和消費者 間,為行動應用軟體發展出強而有力的評價系統。本倡議由MEF新成 立的行動應用軟體隱私工作組(Privacy in Mobile Applications
Working Group)建立201。MEF在北美進行的行動商務倡議,重點在 定義行動生命循環,為會員建立企業模式標準,並塑造產業標準202。
199 看好數位醫療市場,英特爾、Panasonic、三星電子(Samsung Electronics)、摩托羅拉
(Motorola)、飛利浦(Philips)等多家國際大廠於 2006 年共組非營利、開放性業界聯盟「Continua Health Alliance」,合力建立統一業界標準,目標是降低研發成本及共同提升醫療技術與服務品 質。參考 Continua Health Alliance,360°科技,2008 年 8 月 4 日,
http://www.digitimes.com.tw/tw/dt/n/shwnws.asp?CnlID=10&Cat=20&Cat1=&id=100637#ixzz2VE8j kR1D,最後上網日期 2013/6/4。
200 A High Level Reference Architecture for Mobile Health, GSMA, March 29, 2012,
http://www.gsma.com/connectedliving/wp-content/uploads/2012/03/mobilearchitectureinteractive2411 11.pdf (last visited 2013/6/4)
201 MEF launches App Privacy Initiative to build Consumer Trust around User Data Collection , April 25, 2012,
http://www.mefmobile.org/News/mef-news/197/mef-launches-app-privacy-initiative-to-build-consume r-trust-around-user-data-collection (last visited 2013/6/6)
202
http://www.mefmobile.org/Regions/north-america/MEF_NA_mcommerce_Steering_Committee/ASC_
X9 (last visited 2013/6/17)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
MEF更設立網路研討會,邀請行動生態系統業者共同參與,發展行動 電子商務隱私和安全標準203。
MEF與AVG Technologies的行動專家合作,進行行動裝置研究以 了解全球消費者,對於行動應用軟體收集個人資料,如通訊錄資訊和 位置資料之態度與看法,於 2013 年發布調查結果。該研究總共統計 來自 10 個國家的 9,500 份回應,發現有四大主要態度因素:隱私、
透明、在意程度、安全和控制。該研究的主要發現有:僅有 37%的消 費者會不介意行動應用軟體分享個資;大多數的消費者認為需要知道 行動應用軟體何時在收集個資(70%)和分享個資(71%);信任行動 應用軟體是安全的僅占 18%,多數不相信個資會受到保護;女性和超 過 35 歲的消費者對隱私有更多顧慮;市場成長中的國家,如巴西、
墨西哥和南美洲,比較不會去在乎個資問題。MEF係依據這份研究報 告,更加堅信推動行動應用軟體隱私倡議之必要性,期建立產業廣泛 的行動應用案例,建基在消費者告知同意上204。
MEF 所發起的行動應用軟體隱私倡議,是行動產業之利害關係 者與消費者共同期待的,這份倡議將可以提供行動應用軟體隱私發展 的建議方向,相信未來將會有更多標準組織或團體,推動建立行動應 用軟體隱私標準。
203
http://www.mefmobile.org/Regions/north-america/MEF_NA_mcommerce_Steering_Committee/webin ar-driving-mobile-security-standards-in-m-commerce (last visited 2013/6/17)
204 http://www.mefmobile.org/activities-and-analytics/analytics/global-privacy-survey-2013 (last visited 2013/6/6)