※ 引述《zxcxxx (進擊の暖男)》之銘言:
: 小米手機 未違反個資法
: 中時
: 記者何英煒/台北報導
: NCC(國家通訊傳播委員會)昨(30)日宣布抽測12款市售手機結果,包括小米、華為及
: 中興等陸製手機,均未發現任何違反個人資料保護法事宜。
: NCC抽測12款市售手機,包括華碩Zenfone 5、蘋果iPhone6 Plus、華為榮耀3C、HTC
: Desire 816、LG G3、三星Galaxy Note 3、SONY Xperia Z2、中興(ZTE)Q301C、紅米
: 1S、富可視 M210、遠傳Smart 503、台灣大Amazing X3等品牌手機。
: NCC表示,資安檢測結果均未發現違反我國個人資料保護法相關規定情事。目前國際間並
: 無針對手機資安訂有統一檢測標準,且歐美等先進國家亦無手機資安檢測的強制性規範。
: 但隨著無線通訊軟硬體技術提昇,手機功能已多元複雜,滑世代的智慧型手機及平板電腦
: 如同個人電腦一樣,一旦連上網路,都須面對來自網際網路資安風險的挑戰。
: NCC說明,將邀集手機廠商確認檢測結果,並建議廠商採取可行的技術及程序,加強保障
: 傳輸資料的安全,以降低軟體服務可能衍生的風險。
: http://www.chinatimes.com/newspapers/20141231000051-260202
根據NCC提供的報告(註1),檢測資料內容分為四類:
1. 帳號密碼、聯絡方式(通訊錄,如:姓名、地址、電話、電子郵件等包含
但不限於之相關資訊)、簡訊內容、通話錄音、個人影音或個人文件檔
(涉及敏感資訊)
2. IMEI、IMSI或定位資訊 (涉及敏感資訊)
3. App列表、音樂撥放資訊、手機作業系統、手機型號、手機韌體版本、MCC、MNC、
行動通信業者或網路傳送方式 (不涉及敏感資訊)
4. 資料加密、協定加密或無加密但內容未知 (無法查證)
我們可以看到,涉及個資法的,就只有1,2,但是第4類由於資料加密等狀況下,
無法查證。
從第4頁開始,手機網路連線自動連回各國伺服器情況,如圖3 ~ 5,
可以知道第1,5,7,8款手機會自動連回中國。
其中第8款手機,並沒有連線回台灣,除了Facebook伺服器之外,只有連回美國跟中國。
至於第8,9頁的圖6~8有放等於沒放,12款手機大部分資料都是屬於第4類資料(已加密),
當然查不出來到底有沒有洩漏個人資料。 NCC若查得出來加密資料裡面有個人敏感
資訊,保證可以去拿好幾座圖靈獎(資訊領域最大獎項)。
有趣的來了...,
1. 報告書中的第3頁開始,上面寫著:
「本報告中手機編號第1款至第12款與新聞稿第一段手機廠牌型號排序並無對應關係」
報告書中全部12款手機,都沒寫對應名稱,民眾怎麼知道哪些手機的資料回傳情形?
2. 第5頁寫著:「然而手機廠商與連線伺服器所在國家似無明顯關聯性」。
沒有給清楚的數據與廠商對應資料,叫人家怎麼信任這個單位?
3. 第8款手機,網路連線時只有傳資料給美國跟中國(連回以色列的不算,那是連回FB)
,抽測的手機廠商有:ASUS, Apple, 遠傳, 華為, HTC, Infocus, LG, 小米,
台灣大哥大, 三星, SONY, ZTE(中興通訊),其中:華為, 小米, ZTE(中興通訊)是
中國廠商。承上問題,除非NCC提出確切證據說這三家廠商跟第8款手機無關聯,否則
可以合理懷疑第8款手機是這三家廠商其中之一。
4. 中時這篇報導不夠嚴謹。第4類資料是加密資料,當然測不出來到底有沒有傳輸個人
敏感資訊。但也不能夠斷定業者真的沒有在加密傳輸資料內放入個人資料。
在查證不明以及沒有廠商對應代號的情況下,就斷定說沒有傳輸個人資料,
邏輯實在有問題。
參考資料:
1. NCC, 「12款智慧型手機資安檢測總結報告」,線上資源:
http://tinyurl.com/p8yzvvk