第二章 行動應用軟體與資訊隱私
第三節 行動軟體侵犯隱私問題
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
競爭白熱化;趨勢六:APP商店普及化;趨勢七:家庭網路無線化;
趨勢八:企業通訊行動化;趨勢九:網路資料巨量化。趨勢十:資安 威脅多元化26。隨著雲端運算普遍化、聯網終端多樣化、APP商店普 及化和企業通訊行動化發展,隨著臺灣智慧型手機的普及率迅速提 昇,可預見行動電子商務即將快速成長發展。
由於網際網路已經相當普及,無線網路技術的快速發展,近年來 智慧手機持有率之提升,行動電子商務發展潛力無窮。行動電子商務
(M-Commerce)之特徵包括:(1)無所不在(Ubiquity)-不論在哪 裡皆可以交易;(2)直接性(Immediacy)-想到要交易即可以進行;
(3)適地性(Localisation)-結合LBS(Location-based Service)應 用之交易服務;(4)即時連線(Instant connectivity)-很方便地立即 進行網路連線交易;(5)主動功能(Pro-active functionality)-可提 供個人化的選擇性廣告(Opt-in advertising)、廣告簡訊;(6)簡易認 證程序(Simple authentication procedure)-手機的SIM(Subscriber Identity Module)卡透過個人密碼(Personal Identification Number, PIN)
做簡易的認證保護27。事實上行動電子商務之應用軟體服務,是高度 個人化的服務,具有情境認知、定位敏感性、時間關鍵性、點對點資 訊展現形式之特性,一般認為行動電子商務推動的阻力,是消費者對 於隱私安全方面的顧慮問題28。發展行動電子商務相關應用軟體,亦 須將消費者對隱私安全之疑慮納入設計考量。
第三節 行動軟體侵犯隱私問題 第一項 不當取得隱私資料問題
傳統上行動隱私研究重點多放在位置追蹤和分享,但行動裝置作 業系統提供的APIs,使行動應用軟體得順帶截取行動裝置裡的隱私資 料,包括裝置代碼、登入帳號密碼、文字訊息、照片、影音、連絡資 料、行事曆資料、歷史接聽紀錄、網路使用習慣等。Bloomberg報導 美國安全軟體公司Bit9 發佈一項令人不安的消息,指出有超過 10 萬 項Android應用程式不當取得下載用戶的個資,比例達 26%,如追蹤
26 詹文男暨 MIC 研究團隊,2012 資通訊產業發展十大趨勢,財團法人資訊工業策進會產業情報
研究所(MIC),2012 年。
27 Rajnish Tiwari1, Stephan Buse and Cornelius Herstatt, From Electronic to Mobile Commerce:
Technology Convegence Enables Innovative Business Services, 7~9,
http://www.mobile-prospects.com/publications/files/E2M-Commerce.pdf (last visited 2013/6/17)
28 Ali Grami and Bernadette H. Schell, Future Trends in Mobile Commerce: Service Offerings, Technological Advances and Security Challenges, Proceedings Second Annual Conference on Privacy, Security and Trust, 1, October 13~15, 2004
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
位置、取得聯絡人資料、探取email內容等,此多數與該應用程式功 能完全無關。Android手機的確會在用戶下載應用程式時發出提醒,
該程式可能會取得哪些資訊,至於一般民眾是否有閱讀這些警語則是 另一回事29。所謂不當擷取,是指未事先告知,並經當事人同意而取 得不應擷取之資料。
華爾街日報曾針對 101 個iPhone和Android 行動應用軟體進行研 究,其中有半數未告知用戶或經同意即傳送手機識別碼,其他還有傳 送手機定位、年齡、性別和其他個人資料給他人。Apple和Google都 聲稱他們保護使用者,已要求行動應用軟體需事前取得用戶之允許,
特別是定位資訊,但其中近半數的行動應用軟體卻連最基本的隱私權 政策都沒有放。手機用戶雖可以自行清除被植入的Cookies,但行動 業者設定的手機識別碼動不了,Apple和Google也未列入准許控制,
因此使用者並無法防範。Apple和Google都仰賴行動廣告收入,兩者 皆聲稱未追蹤個人使用行動應用軟體,但卻會提供廣告商鎖定特定族 群之使用者。因Apple的行動應用軟體只可於iStore取得,Apple僅得 在iStore聲稱不得傳送未經使用者同意之資訊,但據華爾街日報之研 究發現,很多行動應用軟體已違反該規則。因有很多供應商提供 Google Apps下載服務,Google則是將使用者資訊處理責任推給行動 應用軟體開發者。Apple內部將手機識別碼視為可辨識個人之資訊
(personally identifiable information),但Google和多數的行動應用軟 體開發者卻不認為如此30。
表面上Apple和Google雖已訂立定位追蹤准許控制和規則,但對 行動應用軟體開發者和提供者並沒有強制力,使用者只得自求多福。
大陸金山軟件公司研發的金山手機毒霸,長期追蹤報告發現,有 70.43%的Android軟體會取得敏感隱私權限;其中,獲取短信權限的 有 21.26%、獲取通訊錄和通話記錄的有 33.59%、獲取手機號碼的有 33.59%、獲取位置資訊的有 62.56%;對喜歡下載中國大陸Android系 統軟體和遊戲的用戶,特別提出警告31。用戶在取得免費行動應用軟 體時,別忘了天下沒有白吃的午餐,不知不覺地將個人隱私資訊給賤 賣了。
29 10 萬隱私地雷!近三成 Android 應用程式越矩取個資,2012年 11 月 5 日 ,
http://news.cnyes.com/Content/20121105/KFNV4RYTE6QW7.shtml,最後上網日期 2013/6/14。
30 S. Thrum and Y. Kane, Your Apps are Watching You, Wall Street Journal, http://online.wsj.com/, 2010
31 許多安卓手機軟體 竊用戶隱私,中央社,2013 年 3 月 16 日,
http://tw.news.yahoo.com/%E8%A8%B1%E5%A4%9A%E5%AE%89%E5%8D%93%E6%89%8B%
E6%A9%9F%E8%BB%9F%E9%AB%94-%E7%AB%8A%E7%94%A8%E6%88%B6%E9%9A%B1
%E7%A7%81-124426037--finance.html,最後上網日期 2013/6/14。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
根據資安公司 Veracode 的研究報告表示,行動裝置上有四種層 級的潛在風險要注意。應用層:有些行動應用軟體會內含惡意程式 碼,存取資料及裝置感應器。硬體層:有人會透過不正確的韌體,藉 此破壞裝置的記憶體,來獲取管理員帳號。網路層:如果使用行動無 線網路,資訊可能會被攔截。作業系統層:越獄後的 iPhone及 Android,行動應用軟體會滲入作業系統,增加其風險32。
行動裝置上的潛在隱私風險是各層面無所不在的,當有產業龍頭 自律訂定相關標準,可能多少還可以擋掉一些隱私安全問題;但如果 沒有政府法令之厲行,祭出重罰,行動軟體侵犯隱私問題,仍將會如 野火燒不盡,春風吹又生。
第二項 行動上網行為追蹤問題
過去在網際網路上,針對不同網路使用者特性,藉由Cookies「個 人化」的過濾機制(personalized filtering mechanism),網路使用者一 旦被「植入」Cookies 一次,下次再進入該網站所屬的領域時,Cookies 即可發揮自動讀取的功能。對於網路使用者而言,Cookies不但形同 再度造訪該網站的「入場券」,甚至有如牢牢標示網路使用者身上的 bar code,發揮記錄使用者進出特定網站以及其所從屬之網路活動的 功能。Cookies本身可以自網站所收集到的網路使用者資料,諸如所 使用的電腦型式、電子郵件地址、該網站停留的時間、瀏覽該網站的 哪些部份,以及在該網站上從事何種交易,即可進行所謂的線上行為 追蹤(Behavior Tracking)33。透過行動裝置上網,也面臨到同樣的 Cookies問題。
網站的最大資金來源是廣告收入,依據NAI(Network Advertising Initiative)的研究指出,自 2009 年開始進行線上廣告行為追蹤後,廣 告收益比起未有追蹤之前高出 2.68 倍之多,鎖定線上行為的廣告有 兩倍效益,因此價碼也比一般的廣告高出兩倍行情34。行動軟體服務 收益主要來源也是廣告,欲鎖定廣告對象的最佳方式,就是透過分析 使用者如在線上曾造訪哪些網站,藉以蒐集線上行為進行廣告追蹤
32 How Mobile Apps are Invading Your Privacy Infographic, May 31, 2012,
http://www.veracode.com/blog/2012/05/how-mobile-apps-are-invading-your-privacy-infographic/ (last visited 2013/4/16)
33 劉靜怡,網際網路時代的資訊使用與隱私權保護規範:個人、政府與市場的拔河,資訊管理
研究第四卷第三期,2002 年 11 月,頁 140~141。
34 The Inadequacy of Self Regulation within the Internet Behavioral Advertising Industry, Brooklyn Journal of Corporate, Financial & Commercial Law, 7 Brook. J. Corp. Fin. & Com. L. 277, Fall 2012
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
(online behavioral advertising, OBA)35。
目前在網路上的「不被追蹤(Do Not Track)」,通常是選擇性設 定。除新版的Microsoft Explore 10 瀏覽器內定開啟「不被追蹤」,是 較具爭議性的之外。最新版的Firefox,網路版的「不被追蹤」使用率 是 5.6%,行動版的使用率則有 17.1%,整體來說還是偏低的36。消費 者使用率偏低的原因,可能是不了解或是不在乎廣告追蹤對隱私的威 脅,或是根本不知道怎樣設定,或是這設定上的語焉不詳,使得消費 者搞不懂要做甚麼。既然設定「不被追蹤」是趨勢,網路廣告商既然 不能追蹤消費者,又還是想要抓到目標消費者,總要能為他們開一條 出路,美國數位廣告聯盟(The Digital Advertising Alliance, DAA)就 主張「不被追蹤」設定要內定為關閉37。如此,將違反消費主自主保 護隱私不被追蹤之權益。
平均一支智慧型手機會下載 37 個行動應用軟體,這些行動應用 軟體會自手機收集大量的個資,如存取相片簿或使用定位資料,通常 未取得用戶之同意,違反歐洲資料保護法。歐洲聯盟第二十九條資料 保護工作組(The European data protection authorities of the Article 29 Working Party)於 2013 年 2 月發布行動應用軟體意見書,在歐洲資 料保護法下,詳細說明第三方行動應用軟體開發商、行動應用軟體商 店、廣告商、平台和設備製造商等之特定義務。特別關注兒童行動應 用軟體,不可成為線上行為廣告追蹤之對象38。其中對第三方提出之 建議有:不可規避防止被追蹤機制,如瀏覽器須內定「不被追蹤機 制」 39。基於被遺忘的權利,歐盟對個人資料收集和使用,傾向於訂 定更嚴格個人資料保護法,行動應用軟體之不被追蹤設定亦為法令關 注範圍。
35 參考 http://www.truste.com/consumer-privacy/about-oba/ (last visited 2013/6/2)
36 TECH SENSE: What “Do Not Track” Means for Advertisers, February 21, 2013,
http://blog.pointroll.com/aducation/tech-sense-what-do-not-track-means-for-advertisers/ (last visited 2013/6/6)
37 Industry Renews Plea To Keep "Do Not Track" Off By Default, April 29, 2013,
http://www.adexchanger.com/online-advertising/industry-renews-plea-to-set-do-not-track-off-by-defaul t/ (last visited 2013/6/6)
38 European data protection authorities publish their joint opinion on mobile apps, Press Release, ARTICLE 29 DATA PROTECTION WORKING PARTY, 14 March, 2013,
http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/
20130314_pr_apps_mobile_en.pdf (last visited 2013/6/7)
39 Opinion 02/2013 on apps on smart devices, ARTICLE 29 DATA PROTECTION WORKING PARTY, Adopted on February27, 2013,
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/201 3/wp202_en.pdf (last visited 2013/6/7)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第三項 行動應用軟體侵犯隱私案例
2009 年所成立WhatsApp每天處理逾 100 億則訊息,2012 年為 Apple iStore付費程式排行榜上的第三名;WhatsApp在Android平台上 一直都是免費提供,為Google Play免費排行榜的第十一名。加拿大與 荷蘭的資料保護機構,2012 年初針對知名行動程式WhatsApp的隱私 作法展開調查,並指控WhatsApp違反國際隱私準則,例如使用者手 機上的通訊錄轉移至該程式,而且就算使用者刪除了通訊錄上的某筆
2009 年所成立WhatsApp每天處理逾 100 億則訊息,2012 年為 Apple iStore付費程式排行榜上的第三名;WhatsApp在Android平台上 一直都是免費提供,為Google Play免費排行榜的第十一名。加拿大與 荷蘭的資料保護機構,2012 年初針對知名行動程式WhatsApp的隱私 作法展開調查,並指控WhatsApp違反國際隱私準則,例如使用者手 機上的通訊錄轉移至該程式,而且就算使用者刪除了通訊錄上的某筆