國家通訊傳播委員會(NCC)2021年9月獲立陶宛國防部網路安全中心,揭露小米公司於歐洲販售之Mi 10T 5G手機內建軟體具有文字審查功能後,立即委任財團法人電信技術中心(TTC)檢測在台銷售的小米同款手機。
測試結果發現小米10T 5G手機內建的七個APP(包含個性主題、音樂、套裝軟體安裝程式、手機管家、垃圾清理、下載管理、小米視頻)會從globalapi.ad.xiaomi.com伺服器下載針對「自由西藏」、「台灣獨立」、「美國在台協會」、「香港獨立媒體」、「六四事件」、「近平」、「胡錦濤」、「蔡英文」、「李登輝」、「巴哈姆特」、「PTT八卦版」、「自由時報」、「中國國民黨」、「民進黨」、「親民黨」等涉政治詞彙進行比對之檔案(MiAdBlacklistConfig),具有阻絕連網或將相關瀏覽行為回傳之疑慮。
該比對檔案包含政府、宗教、政治團體、社會運動和政治人物姓名等簡體、繁體和英文詞彙,總計2千餘筆。
NCC表示,各國廠牌手機對使用者涉隱私資訊有提供設定開啟或關閉功能之選擇,但該款小米手機並無提供消費者此項選擇功能,雖該伺服器上之詞彙過濾檔案目前已被清空,惟製造商仍然可能由遠端隨時置放最新的過濾詞彙並啟動檢查或過濾功能,恐有使用者隱私資訊回傳疑慮。
NCC指出,手機已是國人日常生活不可或缺的一部分,任何資訊外洩都可能造成個人隱私及權益受損,而為了避免公務及個人機敏資料遭到不當竊取,甚至因機關機敏公務資訊外洩造成國家受到嚴重國安威脅,行政院也已於2020年12月18日通函重申各公務機關使用通訊設備不得使用中國廠牌,公務手機也包含其中,僅有一般民眾使用之智慧型手機尚無限制。
NCC呼籲民眾,應重視並提高個人資料與隱私保護的安全意識,審慎使用或購買手機與聯網設備。
避免手機個資外洩,NCC三步驟點選教學
NCC指出,智慧型手機製造商或App供應商因客戶服務、軟體版本更新確認、對時調校、大數據分析等需求,普遍有回傳資料至廠商之情形,依「個人資料保護法」規定,是類裝置應提供消費者自行選擇是否停用對個人資料蒐集、回傳之功能。
因此,民眾可於下載或使用App時,檢視是否有告知資料蒐集、回傳之訊息,以及有無提供使用者開啟或關閉之功能。
例如下圖安卓系列手機、iPhone的Chrome App有網站追蹤之資料蒐集、回傳相關告知訊息,以及提供開啟或關閉功能。
小米回應否認侵犯隱私
對於NCC指控,小米也立即發出的新聞稿回應,重申小米從來沒有,將來也不會限制、回傳或阻隔手機用戶的任何個人行為,例如搜尋、打電話、瀏覽網頁或使用第三方通訊軟體。
該報告中說明的是小米對廣告管理軟體的使用,NCC報告內指出的MiAdBlacklistConfig檔案,是來管理廣告商於小米自有APP中推送的付費廣告內容,以保護使用者免受部分內容的影響,比如色情、暴力、仇恨言論、以及可能冒犯當地使用者的資訊。這一做法在智慧型手機與社群網站規範管理(例Facebook廣告政策或Google Ads內容條款等)是很常見的做法與規範。
手機已成為民眾日常生活使用的重要工具,無論此次小米是否有侵害隱私權的問題,民眾做好安全措施避免個資外洩都是必需的,特別是未來民眾使用的數位工具只會變多不會減少,對於資安防護的警覺心勢必要有感提升。
