1月14日,據美國之音報道, 台灣的通訊監管機構國家通訊傳播委員會(NCC)近期公布,小米壹款5G手機內建的七個APP,有自動審查兩千多個“政治敏感詞匯”的功能,也具有阻絕連網或將相關浏覽記錄回傳的疑慮。儘管小米公司否認併強調不會限製用戶的個人行爲。但專家表示,中共透過中企在境內所建構的數字監控網早就不是秘密,現在遭監控的對象恐已擴及到海外華人。手機監控的個人資訊若被回傳中國,未來可能成爲中共起訴或構陷民衆的鐵證。
【小米手機暴露習近平政府“擴張性”數位監控 查敏感字】
— TimedNews.com (@TimednewsC) January 14, 2022
台灣的通訊監管機構國家通訊傳播委員會(NCC)近期公布,小米壹款5G手機內建的七個APP,有自動審查兩千多個“政治敏感詞匯”的功能,也具有阻絕連網或將相關浏覽記錄回傳的疑慮。https://t.co/0hELfj5XG3 pic.twitter.com/PjVTU2jJrN
台灣的國家通訊傳播委員會(NCC)1月6日公布壹份智能手機內建軟件的資安抽測報告,其中2020年下半年五款銷售量較高的中國廠牌手機皆未通過初測,後經改善後才通過復測。2021年上半年送測的十款不同廠牌手機,僅有美國品牌Apple iPhone 12通過資安要求,其中在台灣銷售的小米10T 5G手機被發現部分內建軟件具有政治敏感詞匯的自動審查功能,且恐有資訊回傳的疑慮。
中共審查“敏感字眼”?
此款小米10T 5G手機發布於2020年9月底,在全球已銷售壹年多。去年9月底,立陶宛國家網絡安全中心(NCSC)揭露,該手機的歐洲版機種所內建的軟件具有文字審查功能,因此呼籲全民棄用中國手機,也引發各國安全部門開始對小米手機展開調查。
台灣NCC去年10月委請電信技術中心(TTC)檢測在台銷售的小米同款手機後發現,其內建的七個應用軟件,包括個性主題、音樂、軟件包安裝程序、手機管家、垃圾清理、下載管理及小米視頻,會從特定服務器(globalapi.ad.xiaomi.com)下載壹份“黑名單”比對檔案,併針對“自由西藏”、“台灣獨立”、“香港獨立媒體”、“六四事件”、“蔡英文”等兩千多個政治、社會、宗教等北京所認同的“敏感字眼”進行自動審查。
各廠牌手機對涉及使用者隱私資訊時,通常提供設定開啓或關閉功能之選擇,但此款小米手機併未提供此功能,等於任由小米決定對這些隱私資訊的處置。根據中華人民共和國國家情報法第十四條,中國人民、企業有支持、協助和配合國家情報工作之義務。因此,分析人士說,小米很難避免扮演中國政府數字監控的協助角色。
台灣NCC也認爲,小米手機有將使用者隱私回傳中國之疑慮,恐侵害到台灣使用者的個資或隱私。
中共“擴張性”的數位監控
位於台北的國防安全研究院網絡安全與決策推演研究所助理研究員曾怡碩表示,數字監控用在商業界,以搜集商業情報、分析大數據的情形相當普遍,但值得注意的是,小米加入了許多政治性特殊敏感字眼的審查和監控,基於小米的使用者遍及世界各地,恐侵害到海外用戶,包括自由地區華人的資訊權。
曾怡碩告訴美國之音:“中國式的數位監控構成數位威權主義很重要的壹部分,這個監控是任何上網的,用到的手機內容裏面不應該出現,它(中共)所認定的這些敏感字眼。但是問題是,它(中共)的數位字威權、數位字監控,以這樣壹個做法來看的話,變成是擴張到不隻是對境內,因爲以它的數位字主權或者網絡主權來看,跟歐盟的數位字主權是完全背道而馳的。”
中共於去年3月推出壹款“國家反詐騙中心App”,就曾被懷疑是監控軟件,對此軟件,小米曾於官方微博闢謠說:其手機“沒有內建“國家監控中心App”,被廣大網民取笑爲此地無銀叁百兩,反而將“反詐騙中心”與中共的監控劃上等號。部分網民也分享經驗,表示安裝該應用程式後,隻要浏覽海外網站或安裝VPN等翻牆軟件,很快就會有警察找上門。
曾怡碩指出,2020年加拿大多倫多大學“公民實驗室” (Citizen Lab)曾發布報告揭露,中國最大、月活躍用戶達12.25億的通訊軟件微信,會以“關鍵詞名單”來審查中國用戶,傳送敏感事件的相關圖片也會遭到封鎖,進而將用戶打入黑名單。曾怡碩表示,現在即便不登錄微信,隻要使用中國廠牌的手機,也同樣會被監控,這就是中共擴張監控的手段。
曾怡碩告訴美國之音:“這些海外華人也要我(中共)能夠監控的到,到時候就可以作爲洗肅,我要追究他們責任,甚至用法律起訴他們的壹個證據,所以這是它(中共)對於數位監控,中國版的網絡主權觀的進壹步落實。它(監控)主要是防衛性的,它(中共)不希望這些人傳遞任何它不願意(看到)的東西,可是這些防禦性的做法卻是擴張性的、滲透性的壹個手段。”
請同時參閱:從政治、學術到社交網絡,中共“長臂管轄”的觸角有多長?
小米否認爲中共監控幫兇
根據去年立陶宛國家網絡安全中心的調查,小米手機會自動下載壹份“黑名單”比對檔案,其中遭審查的449個敏感詞匯中,涵蓋政治人物頭銜、人名、宗教或政治團體名稱及社會運動名稱等。
台灣NCC近期檢測銷售到台灣的小米手機,也證實同樣含有此壹自動審查機製。
不過,針對NCC的指控,台灣小米公司嚴正否認,併重申小米從來沒有,將來也不會限製、回傳或阻隔手機用戶的任何個人行爲。小米解釋,NCC報告所提及的“黑名單”檔案,是用來管理廣告商在小米自有APP中所推送的付費廣告內容,以保護使用者免受到色情、暴力、仇恨言論或極可能冒犯當地用戶的資訊,此做法在智能手機與社群網站規範管理是很常見的做法。
不過,在全球擁有500萬用戶的行動軟件開發社群(XDA Developers)也曾對小米手機進行實測,該社群發現小米的“黑名單”比對檔案雖然出現如 “西藏”、“香港”等政治敏感詞匯,但也包含不算敏感的詞匯,如“中國”、“中國共產黨”,甚至“小米”及“小米手機”等,因此,該社群認爲,此“黑名單”比對檔案併非用來協助中共封鎖網站內容。
位於台北的台灣科技大學資訊管理係教授查士朝表示,2019年前,小米手機對於廣告內容幾乎不曾管製,含有色情或低俗內容的不當廣告泛濫,令使用者诟病,但現在這份黑名單比對檔案,除了能“擋廣告”,還能審查政治詞匯,無論有無監控之實,對台灣人來說的確觀感不佳。
查士朝告訴美國之音:“原本它(小米手機)的機製設計,是想要即時去更新壹些最新的廣告,或是壹些屏蔽的字樣,所以它用伺服器的方式來做。目前它的屏蔽功能,至少在立陶宛跟在台灣的手機裏面,是沒有打開的。要打開的話,其實是它要去透過類似手機更新的方式,去推送壹些更新的資料到手機裏面,那手機才會去啓動過濾的功能。”
查士朝表示,目前沒有證據顯示中共利用這份比對檔案來進行審查,但不代表未來不能用於審查。他說,特定手機製造商隨時可以利用手機係統的更新,把列表“偷渡”進去,神不知鬼不覺下實施監控。
查士朝告訴美國之音:“手機製造商可以對妳的手機做任何的更新或是安裝任何的程式,不見得是在妳知道的情況底下。”
定期檢測防止資安漏洞
爲避免對國家安全帶來潛在侵害,台灣行政院已於2020年12月18日重申,各公務機關所使用的資通設備包含公務手機,都不得爲中國廠牌,以避免公務及個人機敏數據遭到不當竊取。不過,壹般民衆使用智能手機併無限製。
位於台北的台灣數位鑑識發展協會(ACFD)理事長林宜隆表示,現代人頻繁利用手機下載,容易造成資安漏洞。
林宜隆告訴美國之音:“壹般來講,手機攻擊方面,第壹個任何人都喜歡隨便下載APP,APP下載越多漏洞越多。第二個,漏洞越多就讓歹徒有機會,透過妳的漏洞來被植入木馬,所謂的木馬就包括勒索病毒。第叁個,下載APP除了它本身漏洞之外,下載過程裏面含壹段所謂的病毒程序啓動碼,會去下載它設定的某壹個網站的病毒進來。”
林宜隆表示,智能手機等同壹台行動計算機,隻要壹開機就代表手機可以隨時監控使用者的壹舉壹動,在此前提下,每個人都應該提高個人資料保護和隱私安全的意識,審慎使用手機與連網功能,尤其是政府公務人員,更要時常進行資安防護,以防機敏資訊外洩。