匯流新聞網

CNEWS匯流新聞網記者李盛雯、謝東明／台北報導

國家通訊傳播委員會（NCC）分別於110年度上、下半年，針對未取得資安認證並經電信事業統計109年下半年銷售量較高的5款中國廠牌手機、110年上半年銷售量較高的10款不同廠牌智慧型手機，辦理手機系統內建軟體資通安全檢測作業。目前5款中國大陸廠牌手機經初測、複測及完成改善程序後全數通過檢測；另外，10款不同廠牌智慧型手機，初測計9款未通過，已函送初測報告請手機製造商改善，也已輔導廠商改善，以保障消費者權益。

NCC也表示，獲知立陶宛國防部網路安全中心於110年9月21日，揭露小米公司於歐洲販售的Mi 10T 5G手機內建軟體具有文字審查功能後，為保障國人使用手機的個資與隱私安全，即於去年10月委請電信技術中心（TTC）檢測在台銷售的小米同款手機，結果發現內建的7個應用軟體（App）包括個性主題、音樂、套裝軟體安裝程式、手機管家、垃圾清理、下載管理、小米視頻等軟體程式。

會從globalapi.ad.xiaomi.com伺服器下載針對「自由西藏」、「臺灣獨立」、「美國在臺協會」、「香港獨立媒體」、「六四事件」、「近平」、「胡錦濤」、「蔡英文」、「李登輝」、「巴哈姆特」、「PTT八卦版」、「自由時報」、「中國國民黨」、「民進黨」、「親民黨」等涉政治詞彙進行比對的檔案（MiAdBlacklistConfig），具有阻絕連網或將相關瀏覽行為回傳的疑慮。

比對檔案包含政府、宗教、政治團體、社會運動和政治人物姓名等簡體、繁體和英文詞彙，總計2000餘筆。原則上各國廠牌手機對使用者，涉隱私資訊有提供設定開啟或關閉功能的選擇，但該款小米手機並無提供消費者此項選擇功能。雖該伺服器上的詞彙過濾檔案目前已被清空，但製造商仍然可能由遠端隨時置放最新的過濾詞彙，並啟動檢查或過濾功能，恐有使用者隱私資訊回傳疑慮。

NCC提醒，中國人民、企業依中華人民共和國國家情報法第14條的規定，有支持、協助和配合國家情報工作的義務。因此，政治敏感詞彙檢查或過濾功能，將可能對使用者的個資或隱私造成隱憂。

NCC指出，立陶宛國防部發佈新聞當天即向台灣小米公司關切此事，當時台灣小米公司以電郵回覆，在台灣販賣的小米10T 5G手機與歐洲小米10T 5G（國際版）手機版本不同。小米10T 5G的台灣版手機並不會審查使用者的通訊內容，也不會限制或攔截手機用戶的任何個人行為（如搜尋、撥打電話、瀏覽網頁和使用第三方廠商通訊軟體）。

但經過檢測，NCC將持續依法調查台灣小米公司是否涉及損害消費者權益，或違反其他法令，如有涉及其他機關主管權責時，將請相關機關依法處理，以確保消費者之個資或隱私不受侵害。

NCC表示，委員會於108年起開始推動手機內建軟體資安抽測，並為督促製造商對手機版本更新亦能積極送測，去年提高抽測頻率，分別於110年度上、下半年針對未取得資安認證並經電信事業統計109年下半年銷售量較高5款中國大陸廠牌手機、110年上半年銷售量較高的10款不同廠牌智慧型手機，辦理手機系統內建軟體資通安全檢測作業。

NCC表示，檢測針對應用軟體及通訊協定應有的個資保護及加密機制，從TAICS公告的測試規範中跨級別挑選10個基本項目進行檢測，主要包括「內建軟體應將帳號、通行碼或金鑰儲存於作業系統保護區內或以加密方式儲存」、「內建軟體具備付費功能時，應使用多因子或強驗證進行用戶身分辨識」、「內建軟體應避免交談識別碼遭重送攻擊」、「與付費功能伺服器間傳輸，應使用安全之加密演算法」、「不可於執行期間將敏感性資料儲存於系統日誌檔案」、「存取敏感性資料前，應取得使用者同意」等項目。

NCC強調，通過檢測的各款手機，僅代表系統操作等內建軟體版本，在檢測當下符合測項要求；但考量目前資安事件層出不窮及駭客攻擊手法日新月異，通過檢測的手機，並不能保證未來手機的安全性，手機內建軟體如有更新版本，手機製造商應就更新部分重新檢測及驗證，才能維持通過的資安等級，如事後被發現系統內建軟體有資安漏洞或風險時，製造商仍應及時修補，並請民眾注意相關修補資訊。

NCC提醒，民眾最好保持良好使用手機習慣，切記「三不五要」，以加強保護個人資料與隱私安全。不瀏覽可疑網站，不連接可疑的Wi-Fi，不強行取得管理者權限。要定期更新密碼，要更新軟體程式及備份資料，要關閉未使用的Wi-Fi/藍牙/NFC等介面，連接的Wi-Fi要開啟加密防護，手機不再用時要刪除機敏資料。

照片來源：匯流新聞網資料照片、NCC提供

更多匯流新聞網報導：

路檢攔到毒品通緝犯　同車女身藏毒咖啡包也被逮

北土南倒牟暴利　深夜沿路傾倒廢棄土回填農地魚塭

【文章轉載請註明出處】