此次抽驗的中國製App有哪些?檢驗項目為何?
國安局這次的抽驗是採用《行動應用App基本資安檢測基準v4.0》相關指標,針對小紅書、微博、抖音、微信及百度雲盤等共5個App進行檢驗。檢驗項目包含個資蒐集、逾越使用權限、數據回傳與分享、擷取系統資訊及掌握生物特徵等5大類違規樣態。
而在抽驗的5大違規樣態中也再分出各檢驗細項,例如在「個資蒐集」上,即包含有無違規蒐集位置、通訊錄、通訊錄、截圖等項目,「逾越使用權限」檢驗上則再分為有無要求過度填寫個資、要求權限、強迫同意不合理隱私條款及未充分保障個資權利等,5大樣態合計共15種檢驗項目。根據國安局公布的抽驗結果,5個中國製App皆驗出違規事項,其中小紅書甚至5個檢驗項目全數違規、微博與抖音各有13項違規、微信有10項違規、百度雲盤則有9項違規。
| 國安局抽驗中國製App資安違規狀況 | ||||||
| 違規樣態\App | 小紅書 | 微博 | 抖音 | 微信 | 百度雲盤 | |
| 蒐集個資 | 位置 | √ | √ | √ | √ | |
| 通訊錄 | √ | √ | √ | √ | √ | |
| 剪貼簿 | √ | √ | √ | |||
| 截圖 | √ | √ | √ | √ | √ | |
| 讀取裝置上儲存空間 | √ | √ | √ | √ | √ | |
| 逾越使用權限 | 過度填寫個資 | √ | √ | |||
| 過度要求權限 | √ | √ | √ | √ | ||
| 強迫同意不合理隱私條款 | √ | √ | ||||
| 未充分保障個資權利 | √ | √ | √ | √ | √ | |
| 數據回傳與分享 | 未啟動時上傳非必要個資 | √ | ||||
| 逕向第3方SDK共享個資 | √ | √ | √ | √ | √ | |
| 封包有無導向中國境內位置 | √ | √ | √ | √ | √ | |
| 擷取系統資訊 | 蒐集程式清單 | √ | √ | √ | √ | √ |
| 蒐集設備參數 | √ | √ | √ | √ | √ | |
| 掌握生物特徵 | 蒐集臉部資訊 | √ | √ | √ | √ | |
違規項目總計
| 15 | 13 | 13 | 10 | 9 | |
民眾使用中國製App可能衍生的風險?
國安局指出,民眾使用此類型違規的中國App時,個人所在位置、手機通訊錄、剪貼簿、截圖等資訊都可能遭到蒐集,也可能被迫同意不合理隱私條款,部分App甚至會在未啟動時上傳非必要個資,使用者數據也可能會被傳向第三方SDK共享。
各國對於中國製危害資安App有何管制?
面對中製App資安風險,目前台灣已宣布政府機關禁止使用中國品牌的資通訊產品與軟硬體。國安局也建議民眾,應避免下載具資安疑慮的中製App,以保護個人隱私及企業營業秘密。
而在國際上,美國國會2022年12月表決通過,禁止聯邦雇員在政府設備上使用TikTok;2024年4月國會再通過俗稱「抖音禁令」的法案,以國安為由要求TikTok母公司應在今(2025)年1月19日前出售TikTok,否則將禁止其在美營運,不過總統川普上任後已三度延後時限。
英國則在2023年3月宣布,禁止於公務設備安裝TikTok。歐盟日前也啟動《通用資料保護規則》(GDPR),針對特定與中共相關App進行竊資調查,並裁罰鉅額罰金。印度則是在2020年6月時公告,基於國安理由,禁止使用海外版抖音TikTok、微信等App。