安全的盡頭是密碼?滴滴事件的密碼觀察
2022年7月21日,國家互聯網信息辦公室公布對滴滴全球股份有限公司(“滴滴公司”)依法作出網絡安全審查相關行政處罰的決定,其中個人信息相關涉及41款APP的16項違法事實,并歸納為8個方面。本文僅就公開信息中的個人信息部分,從密碼相關性提出粗淺的符合性分析,不作為企業合規建設參考。
受限于已知信息,8個方面的違法情況中,有1項為直接未使用密碼所導致,其余有4項雖非強制性密碼要求,但屬于可以通過常規的密碼部署得以緩解或解決的情形,還有2項則是隱私計算的應用方向。同時在該審查期間,部分問題也已經通過應用生態的發展得到了解決(如處罰文件中的問題一/問題三)。以下按照與密碼關聯的緊密程度討論:
一、與密碼直接相關的問題
與密碼直接相關的問題為處罰決定的第5個問題:“過度收集司機學歷信息14.29萬條,以明文形式存儲司機身份證號信息5780.26萬條”。該問題是未部署加密導致的合規風險,屬于“強相關”的密碼問題。在《網絡安全法》和《個人信息保護法》等中都有明確,且已經落實到標準層面。如按照《個人信息安全規范》6.3條,個人敏感信息的傳輸和存儲要求“傳輸和存儲個人敏感信息時,應采用加密等安全措施”。身份證號就屬于該規范3.2條定義的典型敏感個人信息。解決方案就是:假定存儲身份證號信息為實名制必要和業務必要,并取得知情同意,則應對身份證號信息進行加密存儲,并借助網絡身份認證公共服務進行驗證(如可行)。
二、通過密碼技術可以增強保護或緩解風險的問題
此類問題大致可以分為違法或過度收集的本地信息和跨設備信息兩類。其中本地信息為處罰決定的第1個問題和第2個問題。
1、“違法收集用戶手機相冊中的截圖信息1196.39萬條”,就這一問題本身并無強制性加密要求,嚴格來講也不是僅APP運營方的單方合規義務,而是包括終端在內的系統和各個應用(包括系統自帶應用)層面應當考慮的問題。合規方向除了APP應接受訪問權限約束外,對應應用的數據控制者也需要通過應用程序的權限設置或直接對截圖進行加密的方式,對圖片信息進行必要保護。這樣即使APP運營方越權讀取或信息泄露,由于相關信息已加密保護,也達到緩解危害風險的效果。
2、“過度收集用戶剪切板信息、應用列表信息83.23億條”,涉及到本地文件未保護的情況,與第1個問題類似。不同之處在于APP讀取的是內存動態文件信息,因此應在系統層面考慮通過權限設置,或更時髦的邏輯安全隔離以及隱私計算的TEE等一些加密應用,解決不同應用基于“必要性”和“安全性”對內存文件的讀取問題。當然不同的系統在抉擇訪問控制的寬松還是嚴格有很多考量因素,但不可否認目前主要移動系統的發展也呈現出一種逐漸趨緊的策略態勢,體現出技術對監管規則的回應和規則對技術趨勢的引導。
3、跨設備信息的問題是處罰決定的第4個問題:“過度收集乘客評價代駕服務時、APP后臺運行時、手機連接桔視記錄儀設備時的精準位置(經緯度)信息1.67億條”。在細節構成上,這里主要技術問題之一是需要判斷APP與記錄儀之間的數據傳輸,設備存取數據是否采取了加密保護,并根據結果進行法律評價。鑒于2021年7月桔視記錄儀應用下架,本文僅從公開信息了解對車內廣角攝像頭(CAM2)部分采取了加密機制,是否可以通過軟件或硬件破解方式未知。從涉案措辭表述及位置信息條目看,可能已經超出了取證必要,因此位置信息可能不存儲于CAM2,而存儲于不加密的CAM1(有關CAM1的合規問題我們另文討論)。從符合性角度考慮,應對措施包括APP運營方對精準位置信息等采取加密措施保護。
三、以密碼為基礎的隱私計算技術的作為
作為對隱私計算等個人信息保護增強技術的回應,我們還可以進一步嘗試分析處罰決定的第6個問題:“在未明確告知乘客情況下分析乘客出行意圖信息539.76億條、常駐城市信息15.38億條、異地商務/異地旅游信息3.04億條”。此雖然不是直接的密碼法律問題,但卻與自動化決策和算法推薦密切相關,也是隱私計算典型的努力方向。建議考慮:(1)已經通過隱私政策和用戶協議取得乘客知情同意,考慮到此前協議條款的含糊不清和可能產生的不同理解,APP運營者應在相關政策和協議中“明確告知”進行的具體分析活動而非“可能”進行的分析活動;(2)涉及對其他數據來源的信息進行綜合分析和傳遞時,應增加考慮加密機制,并進一步借助安全多方計算等隱私計算模型/方法保護個人信息;(3)此類意圖分析極易因數據聚集而產生公共安全或其他更復雜的風險場景,應在業務開展前進行充分評估(不局限于個人信息保護評估)。
上述分析可以看出,涉及的8類違法行為有半數左右與密碼有關,由于在系統層面和應用層面加密措施部署缺失,最終放大了非法獲取的個人信息數量和類別。這些問題在驗證了密碼確為個人信息基礎性保障的同時,也說明在系統和應用層面建立合法合理的包括密碼在內的系統生態仍然任重道遠。
