安全的尽头是密码?滴滴事件的密码观察
2022年7月21日,国家互联网信息办公室公布对滴滴全球股份有限公司(“滴滴公司”)依法作出网络安全审查相关行政处罚的决定,其中个人信息相关涉及41款APP的16项违法事实,并归纳为8个方面。本文仅就公开信息中的个人信息部分,从密码相关性提出粗浅的符合性分析,不作为企业合规建设参考。
受限于已知信息,8个方面的违法情况中,有1项为直接未使用密码所导致,其余有4项虽非强制性密码要求,但属于可以通过常规的密码部署得以缓解或解决的情形,还有2项则是隐私计算的应用方向。同时在该审查期间,部分问题也已经通过应用生态的发展得到了解决(如处罚文件中的问题一/问题三)。以下按照与密码关联的紧密程度讨论:
一、与密码直接相关的问题
与密码直接相关的问题为处罚决定的第5个问题:“过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条”。该问题是未部署加密导致的合规风险,属于“强相关”的密码问题。在《网络安全法》和《个人信息保护法》等中都有明确,且已经落实到标准层面。如按照《个人信息安全规范》6.3条,个人敏感信息的传输和存储要求“传输和存储个人敏感信息时,应采用加密等安全措施”。身份证号就属于该规范3.2条定义的典型敏感个人信息。解决方案就是:假定存储身份证号信息为实名制必要和业务必要,并取得知情同意,则应对身份证号信息进行加密存储,并借助网络身份认证公共服务进行验证(如可行)。
二、通过密码技术可以增强保护或缓解风险的问题
此类问题大致可以分为违法或过度收集的本地信息和跨设备信息两类。其中本地信息为处罚决定的第1个问题和第2个问题。
1、“违法收集用户手机相册中的截图信息1196.39万条”,就这一问题本身并无强制性加密要求,严格来讲也不是仅APP运营方的单方合规义务,而是包括终端在内的系统和各个应用(包括系统自带应用)层面应当考虑的问题。合规方向除了APP应接受访问权限约束外,对应应用的数据控制者也需要通过应用程序的权限设置或直接对截图进行加密的方式,对图片信息进行必要保护。这样即使APP运营方越权读取或信息泄露,由于相关信息已加密保护,也达到缓解危害风险的效果。
2、“过度收集用户剪切板信息、应用列表信息83.23亿条”,涉及到本地文件未保护的情况,与第1个问题类似。不同之处在于APP读取的是内存动态文件信息,因此应在系统层面考虑通过权限设置,或更时髦的逻辑安全隔离以及隐私计算的TEE等一些加密应用,解决不同应用基于“必要性”和“安全性”对内存文件的读取问题。当然不同的系统在抉择访问控制的宽松还是严格有很多考量因素,但不可否认目前主要移动系统的发展也呈现出一种逐渐趋紧的策略态势,体现出技术对监管规则的回应和规则对技术趋势的引导。
3、跨设备信息的问题是处罚决定的第4个问题:“过度收集乘客评价代驾服务时、APP后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条”。在细节构成上,这里主要技术问题之一是需要判断APP与记录仪之间的数据传输,设备存取数据是否采取了加密保护,并根据结果进行法律评价。鉴于2021年7月桔视记录仪应用下架,本文仅从公开信息了解对车内广角摄像头(CAM2)部分采取了加密机制,是否可以通过软件或硬件破解方式未知。从涉案措辞表述及位置信息条目看,可能已经超出了取证必要,因此位置信息可能不存储于CAM2,而存储于不加密的CAM1(有关CAM1的合规问题我们另文讨论)。从符合性角度考虑,应对措施包括APP运营方对精准位置信息等采取加密措施保护。
三、以密码为基础的隐私计算技术的作为
作为对隐私计算等个人信息保护增强技术的回应,我们还可以进一步尝试分析处罚决定的第6个问题:“在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条”。此虽然不是直接的密码法律问题,但却与自动化决策和算法推荐密切相关,也是隐私计算典型的努力方向。建议考虑:(1)已经通过隐私政策和用户协议取得乘客知情同意,考虑到此前协议条款的含糊不清和可能产生的不同理解,APP运营者应在相关政策和协议中“明确告知”进行的具体分析活动而非“可能”进行的分析活动;(2)涉及对其他数据来源的信息进行综合分析和传递时,应增加考虑加密机制,并进一步借助安全多方计算等隐私计算模型/方法保护个人信息;(3)此类意图分析极易因数据聚集而产生公共安全或其他更复杂的风险场景,应在业务开展前进行充分评估(不局限于个人信息保护评估)。
上述分析可以看出,涉及的8类违法行为有半数左右与密码有关,由于在系统层面和应用层面加密措施部署缺失,最终放大了非法获取的个人信息数量和类别。这些问题在验证了密码确为个人信息基础性保障的同时,也说明在系统和应用层面建立合法合理的包括密码在内的系统生态仍然任重道远。
