※ 引述《zxcxxx (进击の暖男)》之铭言:
: 小米手机 未违反个资法
: 中时
: 记者何英炜/台北报导
: NCC(国家通讯传播委员会)昨(30)日宣布抽测12款市售手机结果,包括小米、华为及
: 中兴等陆制手机,均未发现任何违反个人资料保护法事宜。
: NCC抽测12款市售手机,包括华硕Zenfone 5、苹果iPhone6 Plus、华为荣耀3C、HTC
: Desire 816、LG G3、三星Galaxy Note 3、SONY Xperia Z2、中兴(ZTE)Q301C、红米
: 1S、富可视 M210、远传Smart 503、台湾大Amazing X3等品牌手机。
: NCC表示,资安检测结果均未发现违反我国个人资料保护法相关规定情事。目前国际间并
: 无针对手机资安订有统一检测标准,且欧美等先进国家亦无手机资安检测的强制性规范。
: 但随着无线通讯软硬件技术提升,手机功能已多元复杂,滑世代的智慧型手机及平板电脑
: 如同个人电脑一样,一旦连上网络,都须面对来自互联网资安风险的挑战。
: NCC说明,将邀集手机厂商确认检测结果,并建议厂商采取可行的技术及程序,加强保障
: 传输资料的安全,以降低软件服务可能衍生的风险。
: http://www.chinatimes.com/newspapers/20141231000051-260202
根据NCC提供的报告(注1),检测资料内容分为四类:
1. 帐号密码、联络方式(通讯录,如:姓名、地址、电话、电子邮件等包含
但不限于之相关资讯)、短信内容、通话录音、个人影音或个人文件档
(涉及敏感资讯)
2. IMEI、IMSI或定位资讯 (涉及敏感资讯)
3. App列表、音乐拨放资讯、手机作业系统、手机型号、手机韧体版本、MCC、MNC、
行动通信业者或网络传送方式 (不涉及敏感资讯)
4. 资料加密、协定加密或无加密但内容未知 (无法查证)
我们可以看到,涉及个资法的,就只有1,2,但是第4类由于资料加密等状况下,
无法查证。
从第4页开始,手机网络连线自动连回各国服务器情况,如图3 ~ 5,
可以知道第1,5,7,8款手机会自动连回中国。
其中第8款手机,并没有连线回台湾,除了Facebook服务器之外,只有连回美国跟中国。
至于第8,9页的图6~8有放等于没放,12款手机大部分资料都是属于第4类资料(已加密),
当然查不出来到底有没有泄漏个人资料。 NCC若查得出来加密资料里面有个人敏感
资讯,保证可以去拿好几座图灵奖(资讯领域最大奖项)。
有趣的来了...,
1. 报告书中的第3页开始,上面写着:
“本报告中手机编号第1款至第12款与新闻稿第一段手机厂牌型号排序并无对应关系”
报告书中全部12款手机,都没写对应名称,民众怎么知道哪些手机的资料回传情形?
2. 第5页写着:“然而手机厂商与连线服务器所在国家似无明显关联性”。
没有给清楚的数据与厂商对应资料,叫人家怎么信任这个单位?
3. 第8款手机,网络连线时只有传资料给美国跟中国(连回以色列的不算,那是连回FB)
,抽测的手机厂商有:ASUS, Apple, 远传, 华为, HTC, Infocus, LG, 小米,
台湾大哥大, 三星, SONY, ZTE(中兴通讯),其中:华为, 小米, ZTE(中兴通讯)是
中国厂商。承上问题,除非NCC提出确切证据说这三家厂商跟第8款手机无关联,否则
可以合理怀疑第8款手机是这三家厂商其中之一。
4. 中时这篇报导不够严谨。第4类资料是加密资料,当然测不出来到底有没有传输个人
敏感资讯。但也不能够断定业者真的没有在加密传输资料内放入个人资料。
在查证不明以及没有厂商对应代号的情况下,就断定说没有传输个人资料,
逻辑实在有问题。
参考资料:
1. NCC, “12款智慧型手机资安检测总结报告”,线上资源:
http://tinyurl.com/p8yzvvk