自带设备（BYOD）的三个黑暗面 – 隐私、个人数据遗失和设备遭窃

作者：趋势科技

很多员工并不了解使用个人设备对工作产生的影响，很多企业也不明白他们事实上为其后果承担了责任。这篇文章涵盖了你对自带设备计划想知道却不敢问的事情。

好消息：你的公司允许使用自带设备（BYOD）。你终于可以停止使用公司配备的那无聊的电话，在工作中使用自己最炫的新 iPhone。更棒的是，你现在可以在家里用三星平板查收公司电子邮件，同时看着 YouTube 视频。你的公司负担了部分费用，甚至提供企业级的技术支持服务，来帮你使用这些新玩意。这些看来都是无法拒绝的好处。

坏消息：你加入了公司的自带设备计划。有天早上你醒来，拿起 iPad 想要看邮件，但是却打不开。你的 iPad 已经挂了，变砖了。在家里快速地调查了一下，你发现是因为家里的小家伙想要在你醒来前猜测你的密码，想要玩愤怒小鸟。糟糕的是，企业邮件账号的安全策略会强制让 iPad 进行自毁，以防止敏感的企业数据未经授权被访问。现在你会不会比那些著名的小鸟们还愤怒？随后你会发现设备本身还是可以挽救的，企业数据也都可以回复。但你的照片、影片和歌曲都不见了。永远消失了。注：上述例子是个真实故事，我儿子的名字是 Luca。

如果你已经被吓到了，那就不要再看下去了。这些还不是你的数据、隐私和设备所能遭遇的最坏情况。用自己的个人设备来工作的员工大多会惊讶地发现，他们的智能手机、平板电脑，以及笔记本电脑可能牵扯进公司的诉讼案件。员工可能会被要求交出他们的个人设备（包括里面的浏览记录、个人资料和他们建立的文件），因为它们可能会在诉讼过程中受到第三方团体审查。

当你加入公司的自带设备计划时，如果太过心急而没有仔细阅读使用策略就加以接受，或你那时根本也不想知道到底会遇到什么，现在可能是个好时机，详细阅读相关文件，或者联系你的 IT/HR 部门以确认详情。关于公司的自带设备计划，这里有三件重要的事情需要确认，千万别羞于开口：

1. 个人资料遗失。当你将个人拥有的智能手机、笔记本电脑或平板电脑用在工作上（例如访问公司电子邮件、日历，或企业目录），公司很有可能会用内建功能和额外的软件工具来保护并管理设备内的数据。作为第一道防线，很多公司都会强制执行 ActiveSync 策略，大部分消费类移动设备都支持该功能，借此可强制实施密码保护、远程删除和锁定。更先进的 IT 部门可能会要求安装额外的移动设备管理软件，好让企业 IT 可以将管控扩展到你设备上的应用程序和功能。

虽然安全性和可管理性是公司所关心的事，大多数自带设备计划所用的工具并不会明确地将个人与企业的数据和应用程序区分开。结果就是，当未经授权访问事件发生时（真正已经发生，或可能发生），设备内的内容或多或少会被自动删除，设备本身也会变得无法使用。

如果你不害怕答案，你应该要问下列问题：我在设备上的数据很容易就被自动或远程删除吗？什么事件会触发自动删除？远程删除是标准离职步骤的一部分吗？远程删除会告知我或征求我同意吗？在自动或远程删除后，我的个人资料还会保留吗？公司有提供恢复已删除个人资料的方法吗？我可以要求因为个人内容，例如歌曲、影片或应用程序删除所造成损失赔偿吗？

1. 隐私。从法律角度来看，你拥有个人设备这件事和诉讼本身无关。为了要发掘和保存证据，法院可能需要鉴识审查诉讼中所有相关设备。自带设备计划的参与员工可能会被要求交出个人设备给第三方团体检查。你将被迫让他人访问所有储存在你个人设备上的资料。其中包括网站浏览记录、下载和播放过的歌曲和影片、金融交易副本、你的个人联系人，以及你和他们之间的电子通讯（包括个人电子邮件、个人电话、短信，以及各种社交媒体活动，包括 Facebook、Twitter 和 VoIP 服务，例如 Skype 等）。

这还会延伸到任何一起使用该设备的其他家庭成员或第三方人士的个人数据。储存在设备中的个人数据并不是唯一要担心的隐私问题。你的位置和网络活动也可能会透漏给雇主所知。移动设备管理软件的一个特点是可以实时追踪设备位置。该功能的目的是可以在启动远程锁定或远程删除前，先帮助确认设备是遗失还是被窃。也可以用来在设备进入公司的限制区域时，选择性地关闭摄像头或麦克风，以防止敏感数据遗失。现代设备可以实现相当精确的定位，即使是在建筑物内部，也可以用无线网络接入点来辅助 GPS 进行定位。虽然并不一定会使用，但 IT 部门也可以随时随地掌握你的行踪，不管是不是故意，你甚至不会意识到这件事情。

此外，当你的个人设备连接到公司无线网络时，你的网络活动也很有可能会被监控和过滤，以符合各项规定的要求，从而确保公司不会因为任何资源被误用的行为而担负责任。

如果你不害怕答案，你应该要问下列问题：我需要提供个人设备以做鉴识分析吗？这是否也适用于与其他家庭成员共用的设备？谁可以取得储存在我设备内的个人资料？公司可以追踪我的位置吗？在什么情况下会发生这种事？要追踪我的位置，会经过我的同意吗？我会得到通知吗？这些系统在工作时间之外也会启动吗？我个人的网络活动会被监控和记录吗？当我离开公司后，这些资料还会被保留吗？

1. 设备遗失和无法使用。移动备通常都很小巧，并且你会带着它们到处去。所以毫不奇怪地，它们很可能会遗失或被窃。但当你使用这些小工具来处理公事时，就有更多理由需要担心。你的设备可能会因为公司执行远程锁定或删除而变得无法使用。或是你有可能被要求交出必备的智能手机，以配合诉讼的法律程序。这两种情况下，你可能会在一段时间内无法使用自己的设备，并且很可能会发现自己需要一个临时或永久的替用品。

如果你不害怕答案，你应该要问下列问题：在什么情况下，我会被要求交出我的个人设备？公司会提供替用品吗？如果丢失移动设备，谁负责备份和恢复个人资料和应用程序？在什么情况下，公司可以启动远程锁定设备？会寻求我的同意吗？重新使用我设备的流程是什么？

在这篇文章中，我介绍了自带设备计划内较不被为人所知以及不好的方面。在接下来的文章里，我将为 IT 部门提供建立健全的自带设备策略的最佳做法和相关法律建议，以最大幅度地减少这些问题的影响，并完全释放出消费化为业务带来的好处。

 

更多关于BYOD：http://www.trendmicro.com.cn/byod/index.html

 

＠原文出处：The Dark Side of BYOD – Privacy, Personal Data Loss and Device Seizure

 

 

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！