隱藏在Google雲端硬碟的第三方漏洞
作者:趨勢科技雲端安全副總裁Dave Asprey
在1998年,我在Exodus Communications幫忙建立了最早期的現代化雲端服務。從那時開始,就一直有個想法在我的腦海裡迴盪,就是美國政府對於憲法第四條增修條文的詮釋會影響到企業採用雲端運算雲端運算的意願。謝天謝地,這並沒有發生。但現在新的Google雲端硬碟服務條款可能會開啟新的法律爭端,影響到所有人使用雲端儲存的意願。
想知道為什麼會這樣,就要先了解法院是如何解釋美國憲法增修條文第四條,提供「任何公民人身、住宅、文件和財產不受無理搜查和查封,沒有合理事實依據,不能簽發搜查令和逮捕令……」(美國電子前線基金會在他們的網站 – Surveillance Self-Defense上,有對此寫了篇很棒的文章。)
它還提供什麼情況下不合理的搜查可以被稱為「合理」而且合乎憲法的作法。也就是可以在下列情況簽署授權「除有正當理由,經宣誓或代誓宣言,並詳載搜索之地點、拘捕之人或收押之物外」
這也意味著執法單位在進行侵入式搜索時必須先取得授權,如果不這樣做,他們所找到的證物將不被法院受理。不過如果該物件可以被直接看到或是當對象同意被搜查時則無需授權。
當搜索需要授權就交給法院處理。他們發現有「合理的隱私期望」時,執法單位會需要授權。這是早在1967年,雲端出現之前,關於電話亭被用來竊聽的問題,這也是Google的問題起源。
法院所謂的「合理的隱私期望」是說,你會合理的期望自己的東西是屬於私人的,而同時社會本身的客觀認定也會覺得這合理的屬於私人。也就是說你會認為這是私人的,而其他人也是如此認為。不要忘了這個條件,因為這和Google的作法有直接關係。
對於美國憲法第四修正案所作出的第三方原則(Third-Party Doctrine)解釋可以說是現代雲端的噩耗。這解釋是說,如果你的資料由第三方代管,那它不屬於第四修正案的保護範圍。這就嚴重了。這裡最典型的例子是,警察不需要取得授權去知道你打了什麼電話,因為通話記錄的資料是在服務供應商手上。你的電話內容是屬於私人的,但是你打電話這件事並不是。
讓我們將這推演到雲端上。在過去,Dropbox和微軟的SkyDrive保有你上傳到雲端儲存的檔案的版權和智慧財產權。這是合理而正常的做法。如果你可以保有放入雲端物件的版權,你也就可以主張你有合理的隱私期望,你的雲端檔案還是受到憲法第四修正案的保護,即使他們位在第三方的雲端服務內。
但是Google所新推出的服務條款則打破了這項共識。看看這些服務條款的差異。(感謝CNET收集這些連結!)
Dropbox – 條款在這裡:
「您的物件和您的隱私:您通過使用我們的服務所提交給Dropbox的資訊、檔案和資料夾等(合稱「您的物件」),您對您的物件還是保留完全的所有權。我們並不主張有任何的所有權。這些條款並不會讓我們對您的物件或智慧財產權有任何權利,除了那些為了運行服務所需的有限權利,會在下文解釋。」
微軟的SkyDrive – 條款在這裡:
「5. 您的內容:除我們授權供您使用的資料外,我們不會主張您在服務中所提供內容的所有權。您的內容仍屬於您。對於您與他人於本服務中提供的內容,我們也不會控制、驗證或背書。」
Google雲端硬碟– 條款在這裡:
「您儲存在「服務」中的內容:當您將內容上傳或以其他方式提交至「服務」,即表示您授予 Google (及我們的合作夥伴) 全球通用的授權,可使用、代管、儲存、重製、修改、製作衍生作品 (例如翻譯、改編或變更您的內容,使其更加配合我們的「服務」)、傳播、發佈、公開操作、公開展示與散佈這類內容。
