立陶宛國防部網路安全中心在 2021 年 9 月 21 日揭露小米於歐洲販售的 Xiaomi 10T 5G 手機內建軟體具有文字審查功能後,國家通訊傳播委員會(NCC)表示當時即向台灣小米關切此事,小米以電郵回覆,台灣所販賣的手機與歐洲版本不同,並不會審查使用者的通訊內容。NCC 檢測同款在台販售的手機發現,部分內建軟體的確曾具政治敏感詞彙檢查功能,恐有資訊回傳疑慮。
1/15 更新:德國BSI調查結果公布 小米手機不存在文字審查
NCC:小米手機恐有資安疑慮,會持續調查
立陶宛事件後,雖然當時小米澄清,Xiaomi 10T 5G 台灣版手機並不會審查使用者的通訊內容,也不會限制或攔截手機用戶的任何個人行為(如搜尋、撥打電話、瀏覽網頁和使用第三方廠商通訊軟體)。但 NCC 仍於 2021 年 10 月委請財團法人電信技術中心(TTC)檢測在台銷售的小米同款手機。
結果發現 Xiaomi 10T 5G 台灣版手機內建的 7 個 App(個性主題、音樂、套裝軟體安裝程式、手機管家、垃圾清理、下載管理、小米視頻)會從 globalapi.ad.xiaomi.com 伺服器下載針對「自由西藏」、「台灣獨立」、「美國在臺協會」、「香港獨立媒體」、「六四事件」、「近平」、「胡錦濤」、「蔡英文」、「李登輝」、「巴哈姆特」、「PTT八卦版」、「自由時報」、「中國國民黨」、「民進黨」、「親民黨」等涉政治詞彙進行比對的檔案(MiAdBlacklistConfig),具有阻絕連網或將相關瀏覽行為回傳的疑慮。該比對檔案包含政府、宗教、政治團體、社會運動和政治人物姓名等簡體、繁體和英文詞彙,總計 2 千餘筆。
NCC 指出,原則上各國廠牌手機對使用者涉隱私資訊有提供設定開啟或關閉功能的選擇,但該款小米手機並沒有提供消費者此項選擇功能,雖該伺服器上的詞彙過濾檔案目前已被清空,但製造商仍然可能由遠端隨時置放最新的過濾詞彙並啟動檢查或過濾功能,恐有使用者隱私資訊回傳疑慮;此外,中國人民、企業依中華人民共和國國家情報法第 14 條的規定,有支持、協助和配合國家情報工作之義務。因此,NCC 認為,上開敏感詞彙檢查或過濾功能,將可能對使用者的個資或隱私造成隱憂。
本次檢測結果公開,NCC 強調是為了保障消費者「知」的權利,同時提醒國人須重視使用手機的相關風險意識。經過此次檢測,NCC 也將持續依法調查台灣小米是否涉及損害消費者權益,或違反其他法令,如有涉及其他機關主管權責時,將請相關機關依法處理,以確保消費者的個資或隱私不受侵害。
台灣小米回應:從來沒有,將來也不會
針對 NCC 此次檢測的結果,台灣小米方面回應,非常嚴肅地審視並謹慎以待,同時重申小米從來沒有,將來也不會限制、回傳或阻隔手機用戶的任何個人行為,例如搜尋、打電話、瀏覽網頁或使用第三方通訊軟體。
對於報告中提到小米對廣告管理軟體的使用,NCC 報告內指出的 MiAdBlacklistConfig 檔案,小米表示這是用來管理廣告商於小米自有 App 中推送的付費廣告內容,以保護使用者免受部分內容的影響,比如色情、暴力、仇恨言論,以及可能冒犯當地使用者的資訊,該做法在智慧型手機與社群網站規範管理(例如 Facebook 廣告政策或 Google Ads 內容條款等)是很常見的做法與規範。
小米想再一次強調,用戶隱私安全是我們的奮鬥方向,我們以最高標準經營並遵守本地和區域的法律規範。
公務手機禁用中國手機,一般民眾未限制
政府為避免公務及個人機敏資料遭到不當竊取,甚至因機關機敏公務資訊外洩造成國家受到嚴重國安威脅,行政院已於 2020 年 12 月 18 日通函重申各公務機關使用的資通設備不得為中國廠牌,公務手機也被包括在其中,但一般民眾使用的智慧型手機並無限制。NCC 呼籲民眾,應重視並提高個人資料與隱私保護的安全意識,審慎使用或購買手機與連網設備。
NCC 同時提醒,智慧型手機製造商或 App 供應商因客戶服務、軟體版本更新確認、對時調校、大數據分析等需求,普遍有回傳資料至廠商之情形;但依「個人資料保護法」的規定,是類裝置應提供消費者自行選擇是否停用對個人資料蒐集、回傳的功能。民眾可於下載或使用 App 時,檢視是否有告知資料蒐集、回傳的訊息,以及有無提供使用者開啟或關閉之功能。例如安卓系列手機、iPhone 的 Chrome App 有網站追蹤的資料蒐集、回傳相關告知訊息,以及提供開啟或關閉功能。
高通與台灣創新系列故事