敏感資料恐外洩 台灣數碼部揭五款陸製高風險App

台灣數碼發展部12月3日公布最新檢測結果，指出抖音、小紅書、微博、微信及百度雲盤等五款行動應用程式普遍具有六大類資安風險，包括搜集敏感性資訊、讀取儲存空間、預約使用權限、掌握生物特徵、擷取系統資訊，以及將資料回傳與分享給第三方。其中以小紅書違規15項最多。數發部呼籲民眾提高警覺，慎選使用，避免個資外洩。

權限要求恐讓手機資料「毫無防備」

台灣數發部3日舉行「資安高風險App提醒民眾慎選使用」記者會，數發部常務次長葉寧表示，過去談資安多著重在資訊系統，但App已深度介入民眾生活，不管聯繫親友、工作、購物或金融交易，行動應用程式無所不在。

他指出，App通常會要求使用者提供多項權限，App由哪一國法律管轄，是全球都關注的議題，而部份高風險App的營運環境位於中國，依中國《網絡安全法》《國家情報法》，政府機構可要求企業提供資料。

葉寧強調，這些App可能讓手機內的影像、聲音、資料回傳至中國，被不當利用，甚至造成精準詐騙與重大財務損失，從資安角度看，特定App的風險極高，應儘量避免安裝。

五款App普遍過度搜集、資料回傳中國、分享第三方

資安署署長蔡福隆表示，這次檢測依據「行動應用App資安檢測基準4.0」進行，包含抖音、小紅書、微博、微信與百度雲盤五款App。檢測發現，它們普遍有過度搜集個資、過度要求權限、缺乏充份保障個資等情況；此外，多數App都會將資料導向中國境內，並分享給其它第三方廠商。

在違規樣態統計中，小紅書達15項，包含搜集位置、搜集通訊錄、搜集剪貼簿、搜集截圖、讀取裝置上儲存空間、過度填寫個資、過度要求權限、強迫同意不合理私隱條款、未充份保障個資權利、未啟動時上傳非必要個資、逕向第三方軟件開發套件（SDK）共享個資、封包有無導向中國境內位置、搜集程式清單、搜集設備參數、搜集臉部資訊。

微博與抖音各達13項，受影響的資料包含相片、通訊錄、病歷、財務資訊，甚至簡貼簿內容；若使用者曾複製信用卡資訊，一旦被截取就有盜刷風險。

蔡福隆指出，App也可能搜集臉型與聲紋等生物特徵，「臉型被搜集之後不太容易改變」，若遭不當利用，可製作偽造影像進行詐騙或傳播錯假訊息，帶來民意與財務損失。

蔡福隆提醒，若App能掌握使用者常用的購物或外送平台，就可能被詐騙集團利用，以「客戶服務」名義進行更精準的詐騙，也可能冒名訂購服務，引發更多糾紛。

他也提出兩項國際案例：加拿大今年2月的實驗室分析發現，小紅書在Android與iOS上都存在可精準追蹤使用者瀏覽內容的問題；美國聯邦調查局（FBI）在6月向國會報告，中共利用取得的個資偽造美國駕照操縱選舉，涉及姓名、生日、地址等資料的濫用。