Adobe電子書隱私疑慮延燒　美國圖書館協會挺身捍衛讀者權益

發表於 2014-10-172016-01-05By 陳慧敏國際風向

作者
最新文章

陳慧敏

Photo from flickr CC by Yuri Samoilov

編譯／陳慧敏

當下載電子書閱讀工具Adobe Digital Edition 4，想必你會秒按同意授權按鍵，但你不知道的是，拿到這張同意書，Adobe就開始監控你的閱讀習慣，然後以不加密的文件回傳到Adobe伺服器，你可能被Adobe「看光光」囉。

日前Adobe 9月初推出的電子書閱讀工具（Digital Edition 4，DE4）被網民踢爆，監控讀者所有閱讀行為，用不加密的方式，把敏感資料回傳給Adobe伺服器。廣泛使用Adobe軟體的美國圖書館協會，出面要求Adobe改善資安漏洞，並著手調查是否違反隱私權法律，Adobe坦承疏失，承諾將在2014年10月20日前，更新版本改善安全漏洞，但Adobe也強調，其資料收集都符合使用者授權同意書和公司隱私權政策。

Adobe的資安漏洞，一開始是由美國網友Nate Hoffeldery在10月7日，在自己的部落格The Digital Reader踢爆，他得到匿名駭客朋友告知Adobe有違反資安和侵犯隱私權問題後，請求曾披露Kiddle閱讀器資安漏洞的德國研究員穆斯勒（Benjamin Daniel Mussler）協助，證實此問題。科技網站Ars Techica隨後跟進報導，進行Digital Editions 4 實測，得到相同結論，並發布新聞警告讀者。

Ars Techica和Hoffeldery的實測皆發現，Adobe不僅傳送以DE4閱讀的電子書相關資訊，還把不使用DE4軟體閱讀的EPUB格式電子書（比如用Calibre管理平台來存放的電子書），通通納入監控範圍，會詳細收集使用者閱讀時間、比例、閱讀順序等資訊，回傳Adobe伺服器，可能侵犯隱私權法規。同時，收集的資訊是以不加密的純文本格式（plain text）傳輸，極易被第三者攔截盜用，有嚴重的資安疑慮。

《圖書館期刊》（Library Journal）指出，Adobe監控使用者閱讀行為的舉措，引發部分美國公立圖書館憤怒，閱讀行為的資訊應屬個人隱私。美國公立圖書館採用Overdrive電子書借閱平台，此平台建議使用DE4閱讀工具，是Adobe的大客戶。

Digital Book world報導，美國圖書館協會（American Library Association，ALA）理事長楊（Courtney Young）13日出面要求Adobe即刻修正傳輸不加密的資安缺失，並宣示接下來將調查Adobe是否違反聯邦或州的商業／貿易與隱私權法律，以捍衛圖書館讀者和社會大眾的隱私權。

楊表示，未來希望跟業者對話溝通，確認業者只能收集必要資訊，而且業者必須妥善保護被收集的資訊，運用後，應儘快刪除，同時必須清楚且明確地列出使用者授權的項目。

Adobe公司發布聲明回應，將在10月20日之前提出更新版本，以解決傳輸未加密文件的資安問題，但並未解釋為何資料傳送未曾加密。

Adebe 坦承，確實有收集資料的動作，收集的資料包括：Adobe ID、裝置ID、裝置IP位置、閱讀書籍時間、閱讀順序、閱讀比例等，但僅限於正以DE4閱讀的電子書，不包括讀者的其他藏書，這些資訊用以協助出版商等單位，保護版權並運作租書、訂閱等商業模式。此外，Adobe強調資料收集都符合使用者授權協議書，以及Adobe隱私權政策。