Dropbox 是第一個主流的雲端儲存提供商,目前仍是市場上的龍頭,2022 年擁有 7 億名使用者(新視窗)。我們深入研究了 Dropbox 的隱私權政策,以了解該公司如何保護這數百萬人的個人資料。

事實證明,存在一些嚴重的問題。Dropbox 不僅收集大量關於您的資訊,還可以與任何它想要分享的對象共享,包括商業合作夥伴和執法部門。成為 Dropbox 的客戶意味著將很大程度的資料控制權交給了該公司。

本文詳細分析了 Dropbox 的隱私權政策,並解釋了我們的私有 Dropbox 替代方案 Proton Drive 在根本上有何不同。

審視 Dropbox 隱私

Dropbox 的隱私權政策(新視窗)實際上分為兩個部分:第一部分描述服務收集的資料,後續部分則列出 Dropbox 可能與其共享資料的所有實體。值得稱讚的是,Dropbox 將所有條款清晰地陳列出來,讓任何人都能理解。另外還有一個 常見問題解答(新視窗) 頁面,針對特定主題進行了更深入的探討。

Dropbox 收集哪些資料

在隱私權政策中首先會注意到的,是 Dropbox 收集了多少資訊。除了電子郵件地址(這是線上身分的核心部分)之外,Dropbox 還會收集姓名、電話號碼、實體位址以及付款資訊。

Dropbox privacy policy personal information

Dropbox 還會收集並儲存與上載檔案相關的資料,稱之為「您的內容」。這包括檔案的大小、上載的時間和地點、與誰共享(Dropbox 也會收集聯絡人清單的資料),以及檔案中的任何活動。

Dropbox privacy policy your stuff

事實上,檔案活動在隱私權政策中佔據了獨立的子章節,且原因顯而易見。Dropbox 似乎記錄了對檔案進行的所有操作。建立、編輯、共享等行為都會被記錄在某處日誌中,供 Dropbox 使用。

Dropbox privacy policy usage information

最後,Dropbox 還會收集大量關於存取服務時所用裝置的資訊,以及 IP 位址(新視窗)(這是一個能幫助判定實體位置的唯一識別碼)。雖然這可能有其正當用途(如疑難排解),但 Dropbox 預先收集這些資料的做法似乎有些反常。

Dropbox privacy policy device information

還有更多細項,但這些似乎是 Dropbox 針對客戶收集的主要資料點。不過,這間公司會如何處理這座寶庫呢?

Dropbox 如何處理所有資料?

Dropbox 聲明不會將資料出售給廣告商或第三方。

Dropbox privacy policy do not sell

然而,這並不代表其不會共享資料。

Dropbox privacy policy sharing guidelines

最令人驚訝的是接收資料的第三方數量與種類。其中包括在隱私保護方面紀錄極差的公司,例如 Google、Amazon 和 OpenAI。

Dropbox privacy policy partners

在 Dropbox 提供的背景下,其中部分合作對象是合理的,例如支援門戶 ZenDesk、付款服務供應商 Stripe,甚至是可能代管 Dropbox 伺服器的 Amazon Web Services。然而,也有些對象應該讓任何人三思,例如將出售資料作為商業模式的公司 Google。

其他較不知名的公司包括為廣告商分析資料的 Kissmetrics,以及開發 ChatGPT 的公司 OpenAI,後者在處理使用者隱私方面以投機取巧而聞名。

這還不是全部。身為總部位於美國的企業,Dropbox 必須配合美國的搜查令和其他命令,而這些命令可能具有保密性(新視窗)且通常容易取得(新視窗)。這意味著您的資料甚至可能在牽強的藉口下被查封。因此,Dropbox 收到許多來自執法機關的要求(新視窗)

Dropbox privacy policy law and order

然而情況更糟:Dropbox 還明確表示,其非常樂意根據自行判斷與當局共享資料。雖然所有雲端服務在收到搜查令時都被迫配合執法,但 Dropbox 明確表示會主動提供資訊。難怪 Edward Snowden 會稱其為「想要成為 PRISM 合作夥伴的公司(新視窗)」。

這對消費者的意義

Dropbox 並未將自己宣傳為隱私服務,但即便考慮到這一點,其收集的資料量以及共享的對象仍令人震驚。其幾乎掌握了所有關於您可能被知曉的資訊,並且非常樂意將其共享給行銷人員——包括其內部的以及第三方的行銷人員。

更糟糕的是,其還明確表示會出於「公共利益」與警方共享資料,這個詞彙極其模糊,可用於為任何情況辯護。根據 Dropbox 的說法,我們唯一能確定的是隱私並不屬於公共利益的一部分。

更糟的是,為了獲取所有這些資料,其犧牲了使用者的安全性。為了查看使用者在平台上做什麼,必須能夠解密其檔案。換句話說,Dropbox 並未使用最安全的資料保護形式:端對端加密。這種對安全性的忽視導致了一連串的 Dropbox 安全事件

即使您不介意 Dropbox 掌握您的私有資料(但為什麼不介意呢?),這種做法導致不安全的事實也應該讓您暫停考慮。

具備隱私保護的 Dropbox 替代方案

我們開發了 Proton Drive,為社群提供一個認真看待隱私的安全雲端儲存服務。與 Dropbox 不同,隱私並非我們能一時興起就奪走的東西——它是預設包含在內的。

例如,我們不會收集過多關於客戶的資料。我們擁有您的電子郵件,如果您升級方案,則會有您的付款資訊,僅此而已。(您可以從我們的 隱私權政策 中了解我們如何將資料收集最小化。)我們對擁有這些資料不感興趣,因為我們的商業模式是基於為客戶提供私有且安全的服務。我們完全由社群資助,因此不需要將資料出售給廣告商。

由於我們總部位於瑞士,因此受到世界上最嚴格的 瑞士隱私法 管轄,也較不容易受到執法命令的影響。

即使我們想要存取或共享您的資料,我們也做不到。Proton 在所有應用程式上使用端對端加密。這意味著您的檔案在被上載到我們的伺服器之前,就已經在您的裝置上加密完畢。這保護了隱私,也確保萬一發生資料外洩,駭客也竊取不了什麼東西。

這一切都是我們建立更美好網際網路使命的一部分。如果您也希望能參與其中,並尋找更安全、私有的雲端儲存替代方案,請建立 免費的 Proton Drive 帳號 並加入我們。