數發部：抖音、微信、小紅書等5款App存在高資安風險，可能洩露資料至中國

針對國人使用App已相當普遍，App的便利性往往吸引使用，但是背後可能潛藏資安風險，數發部資通安全署指出，部分國人使用的App，例如抖音、微信、小紅書存在資安風險，可能外洩資料至中國政府。

數發部次長葉寧表示，民眾在生活上已習慣使用各種行動應用程式App，舉凡網路購物、工作、金融交易、即時通訊等等，App在日常生活裡幾乎無所不在，使用App往往要求使用者提供各種權限，存載使用者資料，App經營者受到所在國家的法律管轄，可能存在的資安風險，不光是臺灣，全世界各國家都會重視。

因此某些App使用上可能存在資安風險，他以抖音、微信、小紅書為例，由於其App經營者在中國，根據中國網絡安全法及國家情報法，政府機關可要求業者提供資料，民眾使用手機的資料可能因此洩露至中國，甚至資料包括聲音、影像等可能被詐騙者利用，實行精準詐騙。

數發部資安署長蔡福隆表示，目前民眾的生活已高度依賴App，但是部分的App可能存在多項的資安風險，可能危害到使用者的個人資料及行動裝置安全，因此提醒民眾使用的App應有資安意識，App可能會過度蒐集使用者的資料，或是要求超過合理的授權。

資安法修法後上路，公務機關不得使用危害國家資通安全產品

蔡福隆進一步說明，資安法修正後已於今年9月由總統公布，並在12月1日正式施行，其中第11條及27條對於危害國家資通安全產品要求，例如公務機關不得下載、安裝或使用可能危害國家資通安全的產品，包括公務機關自行或委外營運的場所，提供公眾視覺的設備或網路接取服務，基於資通安全考量，不得下載、安裝使用危害國家資通安全產品。

而依據第27條規定，對於特定的非公務機關，包含關鍵基礎設施、國營事業、政府捐助的財團法人，中央目的事業機關得以對特定的非公務機關禁止其下載、安裝使用危害國家資通安全的產品。

資安署也公布法務部調查、刑事警察局根據App資安檢測基準4.0，檢測抖音、小紅書、微博、微信、百度雲盤5款App。

蔡福隆指出，這5款App都會將資料回傳到中國，提醒國人使用這些App存在資安風險，因為根據中國網絡安全法、國家情報法，政府可要求企業將資料、用戶數據提供給國安、公安、情工部門，使得國人的個資可能遭到中國特定單位蒐集應用，國人使用這些在中國開發的App，可能使其個資曝露在極大資安風險。

小紅書最多有15項違規樣態

依照資安署的檢測標準，細究5款App的違規樣態，蔡福隆指出，經檢測發現這5款App都有過度蒐集個資情形，過度要求使用者的權限，沒有充分保障相關個資的權限，使民眾的個資曝露在極大的危險性。

另外，檢測也發現App將資料導向中國境內，並將資料分享給其他廠商，還發現會蒐集重要的生物特徵資訊，其中小紅書有15項違規的樣態，其次是微博、抖音有13項違規的樣態。「顯示這些App的風險相對嚴重」，蔡福隆說。

檢測結果經過歸納後，5款App的違規樣態可以分為6大類的資安風險，包括蒐集敏感性資訊、讀取儲存空間、逾越使用權限、掌握生物特徵、擷取系統資訊、數據回傳與分享。

蒐集敏感性資料的風險部分，App蒐集手機所在的位置、通訊錄或是剪貼簿的內容，其中剪貼簿的內容可能被竊取，例如使用者複製信用卡號準備交易付款，卡號被竊取得可能有盜刷的風險；至於讀取儲存空間的風險，App存取手機內的照片、工作資料、病歷報告，造成敏感或個資外洩風險。

逾越使用權限方面，發現5款App除了過度蒐集個資之外，也要求過多的權限，並且強調使用者同意不合理的隱私條款，強迫使用者資料分享給第三方業者使用；握掌生物特徵方面，蒐集臉部、指紋、聲紋等生物特徵資料，可能被用於偽造當事人的影像，散布造假訊息，造成名譽受損，「以往使用密碼，如果密碼被竊可以修改，但是生物特徵被竊並不容易改變」，蔡福隆說。

數據回傳與分享的風險，可能將手機內的資料、個資回傳到中國的伺服器，分享給第三方，甚至依中國相關法規要求，供國安、公安、情資部門使用；擷取系統資訊方面，讀取手機安裝程式清單、系統資訊、使用者習慣等等，這些資訊如果外洩給詐騙集團，根據手機使用資訊及習慣，例如網路購物、金融交易，詐騙人士可能假冒客服人員進行精準詐騙，或是冒名訂購商品，造成糾紛、名譽損壞。

資安署提醒民眾，為了防範App背後的資安風險，下載安裝前應詳閱隱私條款，特別是資料儲存地點，如顯示儲存於中國，就會存在遵守中國法律的規定可能帶來的風險。其次是分享的第三方廠商，評估資料分享第三方的合理性。

另外，當App要求使用者允許權限，應評估要求的權限是否合理，例如導航App要求使用者授權存取個人健康資訊，明顯為不合理的情形，或是雲端硬碟要求存取錄音、錄影資料等不合理的情形。不只是App安裝之前評估權限是否合理，也要定時檢查手機內的權限開放，例如通訊錄存取是否有開放給不該開放的App使用。

另外，資安署也建議手機內安裝防毒軟體，以封鎖惡意或不當的網站、確保Wi-Fi上網安全等等，也可以使用電信業者提供的網路防護服務，例如防止詐騙或惡意網站。民眾應提高資安意識，對於5款資安風險高的App，應避免安裝及使用。

另依照12月1日上路的資安法修正，公務機關不得下載、安裝或使用這些危害資通安全的App，公務所配發的設備也不能下載、安裝及使用，而由政府提供的網際網路接取服務如GSN，也不提供5款App的公共傳輸服務，確保資通安全。

除了加強宣導，提高民眾對使用高資安風險App的資安意識之外，目前數發部也與教育部合作，準備於今年底公布不適合兒少使用的App清單。另外，目前在中小學校園內，也從網路上封阻使用抖音、小紅書等App。

至於中國廠牌手機，在資安上是否存在更高的風險？

葉寧表示，資安是風險管控的概念，沒有任何東西是完全零風險，民眾需要根據風險，評估選擇適合自己的手機，手機方面，NCC已有進行相關的檢測，至於App方面，數發部針對國人比較可能使用的App進行檢測，因此針對5款App進行檢測。