12款手機經過測試雖沒有違反個資法的情形,但卻發現部份不合理的情形,例如部份手機沒有加密傳輸資料,或是內建軟體服務要求的資料存取權限寬鬆。
為瞭解國內銷售的手機是否有資安疑慮,NCC抽測HTC、華為、華碩等12款市售手機,雖沒有發現違反個資法,但卻有未加密傳輸資料、服務存取權限過於寬鬆等問題。
先前中國手機被資安業者檢測發現未經用戶同意蒐集資料,引發國內各界對手機資訊安全的重視,NCC建立手機系統資安檢測規範,為瞭解市面上銷售手機的資安問題,NCC抽測12款手機,並作為手機資安規劃的參考。
為使抽測具有代表性,NCC參考市佔率挑選12款手機,委託資策會資安所、台灣電子檢驗中心兩家單位代為測試,抽測機種包含HTC Desire 816、華碩Zenfone 5、小米的紅米1S、LG G3、蘋果iPhone 6 Plus、遠傳自有品牌Smart 503、台灣大哥大的TWM Amazing X3、華為榮耀3C、Infocus M210、三星Note 3、Sony Z2及中興的Q301C。
NCC表示,測試包括幾個面向,例如手機第一次開機時的用戶隱私政策,開啟網路後的網路傳輸行為,手機內建軟體服務的網路傳輸行為,瞭解是否有違反國內個資法。經過受委託單位測試,並沒有發現有違反個資法的情形。
雖然沒有發現抽測的手機有違反個資法的情形,但仍有一些不合理的情形,像是沒有加密傳輸用戶資料,還有軟體服務要求的資料存取權限過於寬鬆,例如照相功能卻存取用戶電話號碼。我國法律並沒有強制規定,因此沒有加密傳輸資料、存取權限不合理都不算違法。
NCC已將委託機構完成的測試報告提供給手機業者,請手機業者確認檢測結果,同時將發現到的不合理問題,建議業者以技術或程序加強改善,降低用戶可能的資安風險。
NCC建議民眾提高手機使用的資安意識,一般手機上網會向三方傳送資料,包括手機業者、行動通訊商、軟體開發商。民眾應詳細閱讀手機或下載軟體的隱私政策及資料存取權限,不要下載非官方網站提供的軟體,或是打開來路不明的連結、檔案,手機也要設定上鎖,同時也要安裝防毒軟體。
國際間還沒有對手機資安有統一的測試標準,即使在歐美先進國家有一些規範,但也沒有強制業者執行。NCC計畫明年底提出國內手機系統資安規範,鼓勵業者自行將手機產品送測,但對於電信業者綁約的手機將強制要求通過檢測。