◎ 夏耘
國安局近期公布五款中國製APP的資安檢測結果,引發社會關注。這份報告的最大意義,是提供了一個重要契機:提升台灣社會對APP潛在的資安、個資,乃至於國安風險之認識。
但技術檢測僅能反映APP在特定時間點、特定情境下的行為與設定。即使政府目前採用的檢測制度已包含靜態與動態分析,能針對APP在執行前的程式內容與執行中的實際行為進行驗證,但這樣方式仍有其侷限。舉例,APP可能根據地理位置、語言、時間或其他環境條件,才觸發特定的資料蒐集行為,而這些條件恐怕無法完全透過測試情境模擬。換言之,即使動態分析納入制度,檢測結果也只能代表在特定模擬條件下的觀察,不能推定已涵蓋所有變化與操控手法。
所以,關鍵不只是「現在這版APP有沒有違規」,而是「這款 APP是否有可能讓使用者的資料,流入中國法律能夠實質管轄的環境中」,這才是風險的本質。中國多部法律,包括《國家情報法》、《網路安全法》、《數據安全法》都規定企業與個人「有義務配合政府情報與公安機關的要求」,提供資料與技術支援。這意味著,只要資料被儲存在中國企業控制的伺服器(不論設於何地),使用者資訊就可能在不知情之下,被中國官方調閱與使用。
這種疑慮非台灣所獨有,今年以來,歐洲多國如義大利、德國陸續要求,將中國AI應用DeepSeek從應用程式商店下架,主因就是使用者個人資料會被傳輸至中國,且無配套機制確保對這些個人資料的保護程度等同於歐盟的《一般資料保護規則》(GDPR)。
其實早在二○二一年,立陶宛國防部就檢測出小米手機內建有審查功能;二○二二年台灣NCC也檢測出小米手機內建的APP會從遠端下載含「台獨」「六四」等政治敏感詞的清單,「具有阻絕連網或將相關瀏覽行為回傳之疑慮」,凡此皆反映出中國製產品存在的系統性風險。
當資料被外傳或外洩,恐釀嚴重後果。例如,二○二○年在台販售的中國白牌手機Amazing A32,在製程中就植入惡意程式,導致使用者資料外洩,淪為詐騙集團人頭。這些案例提醒我們:評估 APP風險,不能只看技術層次,資料的流向與國家的法制背景,也可能是難以逆料的風險。在全球數位化深度交織的今日,使用者享受行動科技便利的同時,也面臨更嚴峻的個人隱私與資安風險。國安局的報告提醒我們,真正的數位安全意識必須從每個人的選擇與判斷開始;而全民數位安全意識的提升,亦將提升整體國家安全。
(作者是國家資通安全研究院 資安政策研究員)
編輯精選
自由評論網粉絲團