NCC警告小米Mi 10T 5G手機有敏感政治詞彙檢查功能，恐有回傳資訊疑慮

NCC今天(1/6)發稿指出，在臺灣販售的小米Mi 10T 5G手機，經檢測發現手機內建應用軟體會對敏感政治詞彙進行比對，甚至可能進一步回傳資訊，提醒民眾重視手機的個人隱私保護意識。

去年9月立陶宛政府發表調查報告，在華為Huawei P40 5G與小米的Xiaomi Mi 10T 5G發現含有安全風險，其中在小米手機上發現的風險之一是，在手機內建的小米瀏覽器，使用蒐集用戶活動資料的Chinese Sensor Data，最多可蒐集61種資料，且傳送資訊至該國認為未提供妥善個資保護的第三地，因此視為安全風險。此外，也在該款手機內發現內容檢查機制，自動封鎖被列為黑名單的關鍵字，例如「自由西藏」、「民主臺灣萬歲」等等。

NCC在獲知這項消息後，去年10月主動委託電信技術中心（TTC）檢測在臺灣銷售的同款手機，在該手機內建的7款App，包括個性主題、音樂、套裝軟體安裝程式、 手機管家、垃圾清理、下載管理、小米視頻，發現會從globalapi.ad.xiaomi.com伺服器，下載敏感政治關鍵字，內含「自由中國」、「臺灣人權促進會」、「新疆」、「自由西藏」、「臺灣獨立」、「蔡英文」、「李登輝」、「近平」、「六四事件」、「中國國民黨」、「民進黨」等進行比對的檔案（MiAdBlacklistConfig，如上圖所示），該比對檔案涵蓋政治團體、宗教團體、政府、社會運動、政治人物的簡繁體中文與英文詞彙，總計2千多筆。NCC認為具有阻絕連網或回傳瀏覽行為的疑慮。

NCC表示，該款手機並未提供消費者關閉此一功能的選項，雖然目前詞彙過濾檔案也已被清空，但製造商仍能隨時由遠端更新檢查或過濾功能，恐有曝露使用者隱私的風險，加之中國政府法規規定有配合國家情報的義務，敏感詞彙的檢查或過濾功能恐造成使用者個資、隱私曝露的隱憂，因此公布檢測結果，提醒民眾使用手機的風險。

而在立陶宛發布中國手機調查報告後，NCC曾向臺灣小米關切此事，得到的回應是，臺灣販售的10T 5G手機與歐洲銷售的國際版不同，臺灣版的手機不會審查用戶通訊內容，或是限制用戶搜尋、打電話、瀏覽等手機行為，臺灣小米公司否認審查用戶通訊內容的行為。經此次檢查，NCC表示，未來將會持續檢測臺灣小米是否損害消費者權益，若有損害消費者權益時，報請相關主管機關依法處理。

NCC也提醒，手機製造商或App業者基於對時調校、版本更新確認、大數據分析等，普遍有回傳資料的情形，但依個資法規定，裝置應提供使用者停用資料蒐集回傳功能，至於下載使用App時，也可注意是否提供關閉資料蒐集的功能。

對此，臺灣小米稍晚也回應，NCC所指的MiAdBlacklistConfig為小米針對廣告商對App推送的付費廣告內容的管理措施，避免使用者受影響，如色情、暴力、仇恨言論，以及冒犯當地使用者的資訊。小米強調此一做法在手機或社群媒體的廣告規範上為常見做法，該公司也重申從沒有，將來也不會限制，回傳或阻隔手機用戶的行為，如搜尋、打電話、使用即時通訊軟體或瀏覽網頁。

事實上，這並非小米手機首次有安全風險，iThome曾委託資安專家檢測小米手機，不論是全新手機或使用中的手機，發現未經用戶同意下，擅自傳送資料回到中國的情形。而在2020年，安全研究人員檢測小米手機後發現，追蹤蒐集用戶瀏覽行為，即使用戶開啟無痕模式，仍會追蹤用戶行為，並回傳資料至第三地。